Version imprimable. Imprimer correctement un document Web avec CSS

Pour chaque opérateur, il existe une version allégée avec un nom plus court (sans le préfixe all). La différence est que allinurl trouvera des liens avec tous les mots, tandis qu'inurl ne trouvera que des liens avec le premier. Le deuxième mot et les suivants de la requête peuvent apparaître n'importe où sur les pages Web. L'opérateur inurl diffère également d'un autre, de sens similaire - site. Le premier vous permet également de trouver n'importe quelle séquence de caractères dans un lien vers le document recherché (par exemple, /cgi-bin/), qui est largement utilisé pour trouver des composants présentant des vulnérabilités connues.

Essayons-le en pratique. Nous prenons le filtre allintext et faisons en sorte que la demande renvoie une liste de numéros de carte de crédit et de codes de vérification, qui n'expireront qu'au bout de deux ans (ou lorsque leurs propriétaires en auront assez de nourrir tout le monde à la suite).

Allintext : date d'expiration du numéro de carte / cvv 2017

Lorsque vous lisez dans les nouvelles qu'un jeune pirate informatique a "piraté les serveurs" du Pentagone ou de la NASA, volant des informations classifiées, alors dans la plupart des cas, nous parlons d'une technique aussi élémentaire d'utilisation de Google. Supposons que nous soyons intéressés par une liste d'employés de la NASA et leurs coordonnées. Il existe sûrement une telle liste sous forme électronique. Pour plus de commodité ou par contrôle, il peut également être trouvé sur le site Web de l'organisation elle-même. Il est logique que dans ce cas, il n'y ait aucun lien vers celui-ci, car il est destiné à un usage interne. Quels mots peuvent être dans un tel fichier ? Au moins - le champ "adresse". Il est facile de tester toutes ces hypothèses.

Inurl : nasa.gov type de fichier : xlsx "adresse"

Nous utilisons la bureaucratie

Des trouvailles comme celles-ci sont une belle petite chose. Une capture vraiment solide fournit une connaissance plus détaillée des opérateurs de Google pour les webmasters, du Web lui-même et de la structure de ce qui est recherché. Connaissant les détails, vous pouvez facilement filtrer les résultats et affiner les propriétés des fichiers dont vous avez besoin afin d'obtenir des données vraiment précieuses dans le reste. C'est drôle que la bureaucratie vienne à la rescousse ici. Il produit des formulations standard qui facilitent la recherche d'informations secrètes divulguées accidentellement sur le Web.

Par exemple, le tampon de déclaration de distribution, qui est obligatoire dans le bureau du département américain de la Défense, signifie des restrictions standardisées sur la distribution d'un document. La lettre A désigne les sorties publiques dans lesquelles il n'y a rien de secret ; B - à usage interne uniquement, C - strictement confidentiel, et ainsi de suite jusqu'à F. Séparément, il y a la lettre X, qui marque des informations particulièrement précieuses représentant un secret d'État du plus haut niveau. Que ces documents soient recherchés par ceux qui sont censés le faire en service, et nous nous limiterons aux fichiers avec la lettre C. Selon la directive DoDI 5230.24, un tel marquage est attribué aux documents contenant une description des technologies critiques relevant de contrôle des exportations. Ces informations hautement protégées peuvent être trouvées sur des sites du domaine de premier niveau .mil dédié à l'armée américaine.

« DÉCLARATION DE DISTRIBUTION C » inurl : navy.mil

Il est très pratique que le domaine .mil ne contienne que des sites du département américain de la Défense et de ses organisations sous-traitantes. Les résultats de recherche limités au domaine sont exceptionnellement clairs et les titres sont explicites. Il est pratiquement inutile de rechercher les secrets russes de cette manière : le chaos règne dans les domaines .ru et .rf, et les noms de nombreux systèmes d'armes sonnent botaniques (PP "Cypress", ACS "Akatsiya") ou complètement fabuleux (TOS " Buratino").

En examinant attentivement n'importe quel document d'un site du domaine .mil, vous pouvez voir d'autres marqueurs pour affiner votre recherche. Par exemple, une référence aux restrictions d'exportation "Sec 2751", qui est également pratique pour rechercher des informations techniques intéressantes. De temps en temps, il est retiré des sites officiels, où il apparaissait autrefois, donc si vous ne pouvez pas cliquer sur un lien intéressant dans les résultats de recherche, utilisez le cache de Google (cache opérateur) ou le site Internet Archive.

Grimper dans les nuages

En plus des documents gouvernementaux accidentellement déclassifiés, le cache de Google affiche parfois des liens vers des fichiers personnels de Dropbox et d'autres services de stockage qui créent des liens « privés » vers des données publiées. C'est encore pire avec les services alternatifs et faits maison. Par exemple, la requête suivante recherche les données de tous les clients Verizon qui ont un serveur FTP installé et activement utilisé sur leur routeur.

Allinurl : ftp : // verizon.net

Il y a maintenant plus de quarante mille personnes aussi intelligentes, et au printemps 2015, il y en avait un ordre de grandeur de plus. Au lieu de Verizon.net, vous pouvez substituer le nom de n'importe quel fournisseur bien connu, et plus il est célèbre, plus la capture peut être importante. Grâce au serveur FTP intégré, vous pouvez voir les fichiers sur le stockage externe connecté au routeur. Il s'agit généralement d'un NAS pour le travail à distance, d'un cloud personnel ou d'une sorte de téléchargement de fichiers peer-to-peer. Tous les contenus de ces supports sont indexés par Google et d'autres moteurs de recherche, vous pouvez donc accéder aux fichiers stockés sur des disques externes à l'aide d'un lien direct.

Configurations de voyance

Avant la migration généralisée vers les clouds, les simples serveurs FTP, qui présentaient également suffisamment de vulnérabilités, régnaient en tant que stockages distants. Beaucoup d'entre eux sont toujours d'actualité aujourd'hui. Par exemple, le programme populaire WS_FTP Professional stocke les données de configuration, les comptes d'utilisateurs et les mots de passe dans le fichier ws_ftp.ini. Il est facile à trouver et à lire car tous les enregistrements sont stockés en texte brut et les mots de passe sont cryptés avec Triple DES après un obscurcissement minimal. Dans la plupart des versions, il suffit de supprimer le premier octet.

Il est facile de déchiffrer de tels mots de passe à l'aide de l'utilitaire WS_FTP Password Decryptor ou d'un service Web gratuit.

Lorsqu'on parle de piratage d'un site arbitraire, il s'agit généralement d'obtenir un mot de passe à partir des journaux et des sauvegardes des fichiers de configuration CMS ou des applications de commerce électronique. Si vous connaissez leur structure typique, vous pouvez facilement spécifier des mots-clés. Des lignes comme celles trouvées dans ws_ftp.ini sont extrêmement courantes. Par exemple, Drupal et PrestaShop ont un identifiant utilisateur (UID) et un mot de passe correspondant (pwd), et toutes les informations sont stockées dans des fichiers avec l'extension .inc. Vous pouvez les rechercher comme suit :

"pwd =" "UID =" poste : inc

Révéler les mots de passe à partir du SGBD

Dans les fichiers de configuration des serveurs SQL, les noms d'utilisateur et les adresses e-mail sont stockés en texte clair et leurs hachages MD5 sont écrits à la place des mots de passe. Il est, à proprement parler, impossible de les déchiffrer, mais vous pouvez trouver une correspondance parmi les paires de mots de passe de hachage connues.

Jusqu'à présent, il existe des SGBD qui n'utilisent même pas le hachage de mot de passe. Les fichiers de configuration de chacun d'entre eux peuvent être simplement visualisés dans le navigateur.

Intext : DB_PASSWORD type de fichier : env

Avec l'avènement des serveurs Windows, les fichiers de configuration ont été partiellement remplacés par le registre. Vous pouvez rechercher dans ses branches exactement de la même manière, en utilisant reg comme type de fichier. Par exemple, comme ceci :

Type de fichier : reg HKEY_CURRENT_USER "Mot de passe" =

N'oubliez pas l'évidence

Parfois, il est possible d'accéder à des informations classifiées à l'aide de données qui ont été accidentellement ouvertes et capturées dans le champ de vision de Google. Idéalement, recherchez une liste de mots de passe dans un format courant. Seules les personnes désespérées peuvent stocker les informations de compte dans un fichier texte, un document Word ou une feuille de calcul Excel, mais il y en a toujours assez.

Type de fichier : xls inurl : mot de passe

D'une part, il existe de nombreuses façons de prévenir de tels incidents. Il est nécessaire de spécifier des droits d'accès adéquats dans htaccess, de patcher CMS, de ne pas utiliser de scripts de gauche et de fermer les autres trous. Il existe également un fichier robots.txt qui empêche les moteurs de recherche d'indexer les fichiers et les répertoires qui y sont spécifiés. D'un autre côté, si la structure robots.txt sur certains serveurs diffère de la structure standard, vous pouvez immédiatement voir ce qu'ils essaient de cacher dessus.

La liste des répertoires et des fichiers sur n'importe quel site est précédée de l'index standard de. Étant donné qu'à des fins de service, il doit apparaître dans l'en-tête, il est logique de limiter sa recherche à l'opérateur intitle. Des choses intéressantes se trouvent dans les répertoires /admin/, /personal/, /etc/ et même /secret/.

Suivez les mises à jour

La pertinence ici est extrêmement importante : les anciennes vulnérabilités sont fermées très lentement, mais Google et ses résultats de recherche sont en constante évolution. Il y a même une différence entre le filtre "dernière seconde" (& tbs = qdr:s à la fin de l'url de la requête) et "temps réel" (& tbs = qdr: 1).

L'intervalle de temps de la date de la dernière mise à jour du fichier de Google est également implicitement indiqué. Grâce à l'interface Web graphique, vous pouvez sélectionner l'une des périodes typiques (heure, jour, semaine, etc.) ou définir une plage de dates, mais cette méthode ne convient pas à l'automatisation.

D'après l'apparence de la barre d'adresse, vous ne pouvez que deviner la manière de limiter la sortie des résultats en utilisant la construction & tbs = qdr:. La lettre y après elle fixe la limite d'un an (& tbs = qdr: y), m montre les résultats du dernier mois, w pour la semaine, d pour le jour passé, h pour la dernière heure, n pour la minute , et s pour le donnez-moi une seconde. Les résultats les plus récents qui viennent d'être signalés à Google sont trouvés à l'aide du filtre & tbs = qdr:1.

Si vous devez écrire un script délicat, il sera utile de savoir que la plage de dates est définie dans Google au format Julien à l'aide de l'opérateur daterange. Par exemple, voici comment vous pouvez trouver une liste de PDF avec le mot confidentiel téléchargés entre le 1er janvier et le 1er juillet 2015.

Type de fichier confidentiel : pdf plage de dates : 2457024-2457205

La plage est spécifiée au format de date julienne, à l'exclusion de la partie fractionnaire. Les traduire manuellement à partir du calendrier grégorien n'est pas pratique. Il est plus facile d'utiliser un convertisseur de date.

Ciblage et filtrage à nouveau

En plus de spécifier des opérateurs supplémentaires dans la requête de recherche, vous pouvez les envoyer directement dans le corps du lien. Par exemple, la qualification filetype : pdf correspond à la construction as_filetype = pdf. Ainsi, il convient de préciser d'éventuelles clarifications. Disons que le retour des résultats uniquement de la République du Honduras est spécifié en ajoutant la construction cr = countryHN à l'URL de recherche, et uniquement de la ville de Bobruisk - gcs = Bobruisk. Voir la section développeur pour une liste complète.

Les outils d'automatisation de Google sont destinés à vous faciliter la vie, mais ils ajoutent souvent des défis. Par exemple, la ville de l'utilisateur est déterminée par l'IP de l'utilisateur via WHOIS. Sur la base de ces informations, Google équilibre non seulement la charge entre les serveurs, mais modifie également les résultats de la recherche. Selon la région, pour une même demande, la première page obtiendra des résultats différents, et certains d'entre eux peuvent être complètement masqués. Pour se sentir cosmopolite et rechercher des informations de n'importe quel pays, son code à deux lettres après la directive gl = country vous aidera. Par exemple, le code des Pays-Bas est NL, mais le Vatican et la Corée du Nord n'ont pas leur propre code sur Google.

Souvent, les résultats de recherche sont encombrés même après avoir utilisé quelques filtres avancés. Dans ce cas, il est facile d'affiner la requête en y ajoutant plusieurs mots d'exclusion (chacun d'eux est précédé d'un signe moins). Par exemple, banque, noms et tutoriel sont souvent utilisés avec le mot Personnel. Par conséquent, des résultats de recherche plus clairs ne seront pas affichés par un exemple de requête de manuel, mais par une requête raffinée :

Intitle: "Index of / Personal /" -names -tutorial -banking

Dernier exemple

Le hacker sophistiqué se distingue par le fait qu'il se fournit lui-même tout ce dont il a besoin. Par exemple, un VPN est pratique, mais coûteux ou temporaire et limité. C'est trop cher de s'abonner pour soi seul. C'est bien qu'il y ait des abonnements de groupe, et avec l'aide de Google, il est facile de faire partie d'un groupe. Pour cela, il suffit de trouver le fichier de configuration Cisco VPN, qui possède une extension PCF assez non standard et un chemin reconnaissable : Program Files\Cisco Systems\VPN Client\Profils. Une demande et vous rejoignez, par exemple, le personnel amical de l'Université de Bonn.

Type de fichier : pcf vpn OU groupe

INFO

Les mots de passe sont stockés cryptés, mais Maurice Massard a déjà écrit un programme pour les décrypter et le fournit gratuitement via thecampusgeeks.com.

Des centaines de types d'attaques et de tests de pénétration différents sont effectués à l'aide de Google. Il existe de nombreuses options, affectant les programmes populaires, les principaux formats de base de données, les multiples vulnérabilités PHP, les nuages, etc. Si vous avez une idée précise de ce que vous recherchez, cela simplifiera grandement l'obtention des informations nécessaires (notamment celle qui n'était pas prévue pour être rendue publique). Shodan n'est pas une source unique d'idées intéressantes, mais toutes les bases de données de ressources réseau indexées !

Il existe deux manières de créer une page imprimable :

1. Affichez spécialement une page sans menu ni design inutile dans un script séparé.

2. Afficher la même page que nous visualisons lors de la visualisation du site, mais avec des styles renforcés différents, où les éléments inutiles sont cachés.

J'ai eu la chance de faire des documents (factures, factures, etc.) pour l'impression. Je suis donc allé selon la première option. Mais c'est juste mon cas. La deuxième option me semble plus souple.

Voici mon expérience, notes:

1. La règle principale - restez simple et les gens seront attirés par vous (c) xs who. En bref, n'utilisez pas une variété de modèles. Une personne a juste besoin de lire le texte imprimé, il n'y a rien pour le charger avec un design inutile. Et de gaspiller de la peinture dans l'imprimante.

2. Nous n'utilisons pas d'images d'arrière-plan, elles ne seront de toute façon pas imprimées. Ou ils le feront, mais pas dans tous les navigateurs. Au moins, j'ai eu une sorte de râteau similaire.

3. Nous essayons d'utiliser un fond blanc, du texte noir. S'il revient, beaucoup de peinture sera gaspillée. Je ne pense pas que vous ayez besoin de faire du texte en couleur - beaucoup ont encore une imprimante en noir et blanc.

4. Si vous souhaitez que le contenu suivant soit imprimé sur la page suivante, insérez un div avec un saut de page de classe devant ce texte. Nous décrivons la classe dans les styles :

Saut de page (saut de page après : toujours ;)

le texte derrière ce bloc sera imprimé sur une nouvelle page. Fonctionne dans tous les navigateurs modernes. Oui, et pas le même moderne. Un IE jusqu'à la 7e version incluse échoue. Mais vous devez marquer sur lui !

5. Et donc, imprimez. L'utilisateur peut choisir lui-même l'impression. Vous pouvez mettre

window.onload = fonction () (window.print ();)

et le bouton lui-même :

Sceller

Ce bouton apparaîtra lors de la visualisation de la page, mais ne sera pas imprimé puisque nous avons défini l'affichage : aucun ; dans le style pour le support = "print", c'est-à-dire dans les styles pour le périphérique d'impression. Appuyez sur le bouton pour afficher la fenêtre d'impression.

Pour ceux qui veulent super-automatiser le processus d'impression, de sorte que, par exemple, ouvrez la page et que l'imprimante commence immédiatement à imprimer la page - refroidissez votre ardeur ou celui qui vous demande de le faire. Je n'ai pas trouvé cette méthode. Oui, ce n'est pas. Parce que ça a du sens. Imaginez, vous allez sur le site, et là, grâce à javascript, l'impression d'une centaine d'exemplaires de pages est programmée. Et l'imprimante devient folle et commence à imprimer ce tas de pages à votre insu. Est-ce illogique ? C'est illogique !

À un moment donné, un chef de projet m'a demandé durement de faire une telle chose. Il a dû expliquer tout cela, donner des exemples, pour qu'il comprenne que cela ne peut pas être fait, et que ce n'est pas nécessaire.
6. Si quelqu'un se plaint que l'adresse de la page, le titre et d'autres trucs dans les en-têtes et les pieds de page sont imprimés, conseillez-lui de configurer son navigateur. Ceci n'est pas configurable du côté du site. Du moins je ne sais pas comment. Par exemple, dans Firefox, cela est configuré dans "Imprimer" - "Configuration de la page" - "Marges et pieds de page"

7. Au fait, à la poursuite du précédent. Supposons que l'utilisateur ait désactivé la sortie de tous les en-têtes et pieds de page, y compris l'adresse de la page. C'est-à-dire que si l'utilisateur après un certain temps regarde l'impression, il ne pourra pas comprendre à partir de quel site il l'a imprimé. Alors peut-être devriez-vous faire une petite note indiquant la ressource, l'adresse de la page, le logo ou autre chose.

8. Utilisez une grande taille de police (dans les limites du raisonnable bien sûr). L'essentiel est que tout soit lisible lors de l'impression.

10. Je pense que vous devez utiliser des dimensions indépendantes de l'appareil - des dimensions absolues. Par exemple en, cm, mm, pt, pc.

11. Voici un lien utile http://www.webdevout.net/browser-support-css#css2propsprint. La description des styles peut être trouvée sur le site Web http://htmlbook.ru
De manière générale, je vous conseille de parcourir toute la liste des propriétés CSS, même si vous êtes un développeur expérimenté. J'ai été surpris de trouver des propriétés CSS inconnues et que certaines propriétés CSS peuvent déjà être utilisées sans crainte.

Bien sûr, ce n'est pas une liste complète de conseils. Ce ne sont que mes pensées.

Aujourd'hui est un article dans une série de conseils de conception. Et pas du design graphique, mais du design d'interface. Je pense que beaucoup d'entre vous ont imprimé au moins une fois une page de site Web directement à partir de leur navigateur. La séquence est généralement la suivante : appuyez sur Ctrl + P, attendez une minute, puis devinez pour insérer du papier dans l'imprimante, appuyez à nouveau sur Ctrl + P, demandez-vous pourquoi il a fallu imprimer autant de bannières, de compteurs et du menu principal. Ce qu'il fallait, c'était juste une carte et des contacts.

Certains concepteurs résolvent ce problème de la manière suivante : une version imprimée distincte est créée pour chaque page. Le plus souvent, il s'agit d'un document dans lequel les bannières, menus et autres éléments de page inutiles ne sont pas insérés.

Pourquoi faire une version séparée

Si la page est grande, il est possible qu'elle ne rentre pas sur le format A4 et ne soit imprimée que jusqu'à la moitié, et le reste se trouve sur la deuxième feuille. En supprimant les blocs inutiles avant l'impression, nous économisons de l'espace sur le papier, l'encre dans l'imprimante et les cellules nerveuses.

De plus, les différentes résolutions d'écran des utilisateurs ne nous permettront pas de savoir exactement comment tel ou tel élément sera imprimé. Par conséquent, je vous conseillerais de supprimer tout ce qui est inutile et de vous assurer que toutes les impressions seront identiques.

Comment spécifier ce qu'il faut imprimer ?

Habituellement, grâce aux classes et aux ID d'objet, nous pouvons masquer presque n'importe quel élément de la page. Afin de ne pas cacher des choses inutiles, je recommanderais de masquer l'en-tête de navigation, le logo du site, la barre latérale (le cas échéant) et le pied de page (en bas de la page).

Ainsi, ce qui se trouve dans la zone de contenu sera imprimé. Tous les éléments que vous souhaitez masquer lors de l'impression, attribuez votre propre classe, par exemple "no-print".

Nous pouvons également indiquer que les images du dossier contenant des bannières ne doivent pas être envoyées pour impression. Cela se fait à l'aide d'un masque. Pour ce faire, vous devez spécifier en CSS :

img (affichage : aucun ! important ;)

Avec ce code, nous masquerons toutes les bannières qui apparaîtront n'importe où sur la page. De la même manière, vous devez rendre le reste des éléments invisible.

Pas d'impression (affichage : aucun ! Important ;)

Application en pratique

Pour déposer imprimer.css traité uniquement au moment de l'envoi à l'impression, vous devez le spécifier dans Donc:

Imprimer cette page

Il y a quelques années, j'ai été agréablement surpris d'apprendre l'existence d'une telle fonction. C'est pratique et assez simple, je vous recommande donc de l'utiliser.