文/玄魂
互联网上那些excel文件
前言
1.1 查找包含指定值的excel文件
1.2 查找邮箱
1.3 查找身份证号
1.4 查找管理人员联系信息
1.5 获取密码
很多企业的人力部门、政府机关、学校,都喜欢把excel文档放到办公系统或者内部交流站点上,这些excel文档通常会包含单位内部人员的联系方式、身份信息等重要私人信息。但是他们所使用的web站点通常不能很好的保护这些excel文件,允许外部人士下载查看。
本篇文章,通过google来寻找一些包含敏感信息的excel 文件。这里展示的只是冰山一角,希望位重视excel等各种课下载文件所带来的安全问题。可以通过组合查询,得到更精确的结果,本篇文章出于隐私保护,不详细演示。
这里我要查找一个名为“李小明”(比较常用的姓名,请勿对号入座)的信息,可以通过这样的查询语法:
intext:李小明 filetype:xls
可以找到很多包含“李小明”的excel文档。
为了更准确的找到想要的文档,我们可以根据文档的内容布局来细化查询,比如表头中含有“姓名”字样的excel文档,可以这样查询:
intext:姓名 李小明 filetype:xls
比如可以找到这样的演示文档。
按其他指定信息查询的方式基本相同,这里再演示一例,大家可以自行扩展。
现在我知道了一个手机号,或者邮箱,想找到这个人的详细信息。
打开找到的excel文件,可以看到详细的信息。
公司、地址,姓名、电话一览无余。
想要搜集电子邮件,可以简单的使用如下查询语句。
intext:邮箱 filetype:xls
当然“email”关键字也是极好的。
有时候还有意外的发现,比如下面这个excel文档。
文字中描述了一个邮箱的密码。我尝试了下,还能登陆,而且该邮箱绑定了人人网和微博的账号。
微博和人人网都有和支付相关的内容,后果不堪设想。
欢迎访问玄魂的博客
寻找身份证可以通过“身份证号”、“身份证”这样的关键字进行搜索,比如下面这样的文档:
企业或者机关的高层信息,通常是可遇不可求,不过如果它们躺在某个excel文档里,情况就不同了。
比如搜索这样的关键词:
intext:总经理 手机 电话 filetype:xls
能得到很多销售人员做梦都想得到的信息。
欢迎访问玄魂的博客
上面的例子我们在查找邮箱的时候,偶然发现一个邮箱的密码,但是在excel里面存在登陆密码是不是极其个别的现象呢?现在可以测试下:
intext: 密码 filetype:xls
可以发现类似的文档:
我们也可以进一步细化,搜索:
intext:邮箱 密码 filetype:xls
下面的找到的文档,看起来就很可怕了:
过多的例子就不举了,保护隐私,需要从用户、网络、web程序、制度等多个方面共同入手,才有成效。
ps:对此文章或者安全、安全编程感兴趣的读者,可以加qq群:Hacking:303242737;Hacking-2群:147098303;Hacking-3群:31371755;hacking-4群:201891680;Hacking-5群:316885176