BingDiggity es la principal herramienta de Bing Hacking utilizando el API de Búsquedas en Bing para identificar vulnerabilidades e información sensible expuesta, relacionada a una organización mediante el motor de búsqueda Bing de Microsoft. Esta utilidad también proporciona funcionalidad de reconocimiento, la cual permite enumerar URLs, hosts, dominios y mapeos de hosts virtuales a IPs, etc. para las empresas objetivo.

En la opción “Settings” o Ajustes se requiere primero crear; o en caso ya se tenga; copiar una llave API para la Búsqueda en Bing. De esta manera se aprovechará mejor todas las funcionalidades de la herramienta.

En la opción “Site/Domains/IP Range” o “Sitio/Dominios/Rangos de IP” definir el nombre del host o dirección IP del objetivo a evaluar, para luego hacer clic en el botón “Add” o Añadir. También hacer clic en la pestaña “Advanced” o Avanzada, ubicado en el panel izquierdo. Para iniciar el escaneo hacer clic en el botón de nombre “SCAN” o Escanear.

Los resultados obtenidos serán el producto de la ejecución de la consulta “ip:54.86.X.X”.

Bing Hacking Database v2.0 (2012)

Para la explotación de los cambios recientes y las funcionalidades sin documentar dentro de Bing, se ha sido capaz de superar por completo la limitación anterior de Bing Hacking, y crear una completamente nueva BHDB, lo cual hará Bing Hacking tan efectiva como Google Hacking (sino más) para descubrir vulnerabilidades y fuga de datos en la web. También incluirá una completamente nueva base de datos de SharePoint Bing Hacking, conteniendo cadenas de ataque contra implementaciones SharePoint de Microsoft mediante Bing.

Más Detalles:

Algunos de los cambios recientes y funcionalidades no documentadas harán a Bing Hacking tan efectivo como Google Hacking.

La habilidad para ahora utilizar el operador de búsqueda “ext:”, el cual previamente no existía y la habilidad de imitar el operador de búsqueda “inurl:” de Google mediante el operador de búsqueda “instreamset:url:”

Ejemplo:

instreamset:url:"wp-config.php" "define('DB_PASSWORD',"

Objetivo a Aplicaciones SharePoint

instreamset:url:"layouts/viewlsts.aspx

Funcionalidad “contains:” de Bing.

contains:log WS_FTP.log

Llave API

En agosto del 2012, el API para búsqueda en Bing se movió a Mercado de Windows Azure, un lugar de comprar para conjuntos de datos, aplicaciones en la nube y herramientas de análisis. Está disponible libremente hasta para 5,000 consultas por mes.

La API para búsqueda en Bing permite a los desarrolladores insertar y personalizar resultados de búsqueda en aplicaciones o sitios web utilizando XML o JSON. Los resultados de acceso web, imagen, noticias y video como también búsquedas relacionadas y sugerencias de tipeo.

Para utilizar las Bases de Datos de Bing Hacking (BHDB), definir la dirección IP o nombre del host objetivo. En el panel derecho hacer seleccionar las consultas a realizar, para luego hacer clic en el botón de nombre“SCAN”. Los resultados; si se obtuviesen; serán mostrados en el panel intermedio.

Fuentes:

https://msdn.microsoft.com/en-us/library/ff795667.aspx
https://www.bishopfox.com/resources/tools/google-hacking-diggity/attack-...
http://help.bing.microsoft.com/#apex/18/en-US/n1999/-1/en-US