Google Hacking Database (GHDB) 是什麼？學會 Google 進階搜尋語法保護隱私

你以為 Google 只是拿來找附近哪家拉麵好吃，或是幫小孩子查作業的嗎？太天真了！在資安專家的眼裡，Google 其實是全球最大的「漏洞與隱私搜尋引擎」。

想像一下你家大門都沒在鎖的，因為自己住在一條沒人經過的死巷子裡，所以覺得很安全。這時候，Google 就像是一個拿著大聲公的里長伯，對著全世界廣播：「嘿！巷子底那家人的門沒鎖喔，裡面還有黃金！」

聽起來很可怕對吧？這就是我們今天要談的主題。駭客不需要高超的寫程式技巧，他們只需要懂得「問 Google 對的問題」，你的秘密就會自己跑出來。今天，善良之槍要教你幾招「防禦黑魔法」，讓我們看看駭客是怎麼利用 Google 搜尋語法來找你麻煩的。

GOOGLE HACKING DATABASE (GHDB) 是什麼？

Google Hacking Database (GHDB)，聽起來很像駭客的秘密基地，但它其實是一個公開的網站。簡單來說，它是一個「收集了各種特殊 Google 搜尋指令的資料庫」，用來找出網站上不小心外洩的敏感資訊。

而使用這些特殊指令的行為，在國外被稱為 Google Dorking。這不是什麼高深的駭客技術，它利用的完全是 Google 強大的「進階搜尋功能」。駭客只是比一般人更懂得組合這些關鍵字，讓 Google 變成他們的免費偵探，進而導致嚴重的個資外洩事件。

駭客常用的 3 招「暗黑」GOOGLE 搜尋語法

別擔心，這些語法不是什麼外星語言，它們只是你平常沒用到的 Google 功能。一旦組合起來，威力驚人。以下是三個駭客（以及你）必須知道的基本招式：

1. 精準鎖定目標：SITE:

這個指令告訴 Google：「我只想找這個網站裡的資料」。

範例語法： site:你的公司網址.com "薪資單"

駭客視角：如果你們公司的網站管理員設定錯誤，把內部薪資資料夾也開放給 Google 索引，這行指令一打下去，全公司的薪水秘密就攤在陽光下了。

2. 專找敏感檔案：FILETYPE:

這個指令用來搜尋特定的檔案格式。駭客最喜歡找 PDF、XLS (Excel) 或 DOC (Word) 檔，因為裡面最常藏有不可告人的秘密。

範例語法： filetype:xls "帳號" "密碼"

駭客視角：這簡直是在大海撈針…而且還真的撈得到！很多糊塗蟲會把寫著帳密或是客戶名單的 Excel 檔放在公開的網頁伺服器上，這就是標準的個資外洩。

3. 尋找後門與漏洞：INTITLE: 和 INURL:

這兩個指令分別搜尋網頁標題 (intitle) 和網址 (inurl) 中是否包含特定關鍵字。這常被用來尋找沒設密碼的網路攝影機、或是網站後台登入頁面。

範例語法： intitle:"webcamXP 5" 或 inurl:"/admin/login.php"

駭客視角：透過這些 Google Dorking 技巧，他們可以快速找到網路上成千上萬個大門敞開的攝影機，或是嘗試攻擊那些暴露在外的管理員登入頁面。

我們該如何防範與辨識？

既然知道了他們怎麼出招，我們就能見招拆招。作為一般使用者或網站擁有者，你可以試著這樣做：

「自我肉搜」檢查：試著用進階 Google 搜尋語法搜尋你自己的名字、手機或 Email。例如輸入 "你的名字" filetype:pdf 或 site:facebook.com "你的手機號碼"。如果你找得到連你自己都忘記過的敏感資料，請趕快聯絡網站要求刪除。

網站管理員的責任：如果你有架設部落格或公司網站，請務必檢查網站根目錄的 robots.txt 檔案，設定好你不希望 Google 抓取的敏感目錄（例如後台備份區）。

不要把網路當成保險箱：這是最重要的一點。任何含有身分證字號、密碼、財務資訊的檔案，絕對、絕對不要上傳到任何公開的雲端空間或網頁伺服器上。一旦上傳，就要有心理準備它可能會發生個資外洩。

結論：手裡有槍，心中有光

Google Hacking Database 和它所收集的語法本身並不是邪惡的。Google 就像一把極其鋒利的菜刀，名廚可以用它做出絕世好菜，但壞人也能拿它來做壞事。

在這個數位時代，學習基礎的 Google Dorking 概念，並不是要鼓勵大家去當駭客，而是要培養一種「數位防禦意識」。只有當你意識到自己的資料有多容易被搜尋到，才會懂得把數位的門窗關好。