Cara Melakukan Google Dorking | Panduan Teknis untuk OSINT & Penilaian Kerentanan
Pelajari sintaks pencarian spesifik untuk menemukan file konfigurasi, panel login, data sensitif, dan celah keamanan. Dilengkapi contoh kueri dan langkah mitigasi untuk melindungi aset digital Anda.
Dokumen ini ditujukan semata-mata untuk tujuan pendidikan dan auditi keamanan yang sah. Penggunaan teknik ini untuk aktivitas ilegal atau tidak etis adalah tanggung jawab pelaku sepenuhnya. Selalu peroleh izin yang sah sebelum menguji aset digital yang bukan milik Anda.
1. Pengantar
Google Dorking, juga dikenal sebagai Google Hacking, adalah metodologi penggunaan operator pencarian lanjutan dalam mesin pencari (terutama Google) untuk menemukan informasi spesifik yang tidak terindeks dengan mudah melalui pencarian biasa. Teknik ini merupakan komponen kunci dalam Open-Source Intelligence (OSINT) dan Vulnerability Assessment. Dokumen ini menguraikan operator, sintaks, dan penerapannya dalam konteks yang legal dan etis.
2. Pendahuluan dan Ruang Lingkup
Mesin pencari Google mengindeks sejumlah besar informasi publik dari internet. Sebagian informasi ini dapat bersifat sensitif, seperti file konfigurasi, log, kredensial, atau data pribadi yang tidak sengaja terbuka. Google Dorking memanfaatkan “celah” dalam visibilitas informasi ini.
Ruang Lingkup Dokumen:
- Menjelaskan sintaks operator pencarian Google.
- Memberikan contoh kueri untuk berbagai skenario.
- Menekankan praktik etis dan legal.
3. Operator Dasar dan Sintaks
Operator memungkinkan pengguna untuk menyempitkan dan memfokuskan hasil pencarian. Sintaks umumnya adalah operator:kueri.
3.1. Operator Pencarian Dasar
| Operator | Deskripsi | Contoh | Tujuan Pencarian |
|---|---|---|---|
" " (Tanda Kutip) | Pencarian frasa eksak. | "username admin" | Menemukan halaman yang mengandung frasa persis “username admin”. |
OR (atau |) | Menemukan hasil yang berisi salah satu kata. | password OR passcode | Mencari halaman yang mengandung “password” atau “passcode”. |
AND | Menemukan hasil yang berisi semua kata. | admin AND login (implisit) | Menyempitkan hasil untuk kedua kata. |
- (Tanda Minus) | Mengecualikan kata dari pencarian. | jaguar -mobil | Mencari “jaguar” (hewan) tanpa hasil tentang mobil. |
* (Asterisk) | Wildcard, mewakili kata apa pun. | "reset your * password" | Menemukan frasa seperti “reset your forgotten password”. |
3.2. Operator Pencarian Lanjutan (Operator “Dork”)
Operator ini adalah inti dari Google Dorking dan menargetkan metadata atau bagian spesifik dari sebuah website.
| Operator | Deskripsi | Contoh | Tujuan Pencarian |
|---|---|---|---|
site: | Membatasi pencarian ke domain tertentu. | site:github.com kredensial | Mencari kata “kredensial” hanya di github.com. |
filetype: atau ext: | Mencari file dengan ekstensi tertentu. | filetype:pdf "laporan internal" | Menemukan file PDF yang berisi frasa “laporan internal”. |
inurl: | Mencari kata dalam URL. | inurl:admin | Menemukan halaman dengan “admin” di URL (e.g., /admin/login.php). |
intitle: | Mencari kata dalam tag judul halaman. | intitle:"index of" | Menemukan direktori listing (file yang terbuka). |
intext: | Mencari kata dalam badan teks halaman. | intext:"error occurred" | Menemukan halaman error yang mungkin membocorkan informasi. |
cache: | Menampilkan versi cache terakhir dari sebuah halaman. | cache:example.com | Melihat halaman example.com seperti yang terindeks terakhir. |
link: | Mencari halaman yang menautkan ke URL tertentu. | link:example.com | Menemukan semua situs yang menautkan ke example.com. |
related: | Menemukan situs yang mirip dengan situs target. | related:twitter.com | Menemukan platform media sosial serupa. |
4. Penggabungan Operator dan Kueri Kompleks
Kekuatan sebenarnya dari Google Dorking terletak pada penggabungan beberapa operator untuk membuat kueri yang sangat spesifik.
Contoh Kueri Kompleks:
- Mencari File Konfigurasi yang Terbuka:
1
intitle:"index of" "config.json" OR "config.php" -github
- Penjelasan: Mencari direktori listing (
index of) yang berisi fileconfig.jsonatauconfig.php, tetapi mengecualikan hasil dari GitHub.
- Penjelasan: Mencari direktori listing (
- Mencari Panel Login Administrator:
1
inurl:/admin/login.php site:.gov
- Penjelasan: Mencari panel login admin (
/admin/login.php) khusus di situs web pemerintah (.gov).
- Penjelasan: Mencari panel login admin (
- Mencari File Backup Database:
1
filetype:sql "DROP TABLE" OR "CREATE TABLE" site:.id
- Penjelasan: Mencari file dump database SQL (.sql) yang berasal dari situs Indonesia (.id).
- Mencari Kamera IP yang Terbuka:
1
inurl:"viewer.html?mode=" OR inurl:"axis-cgi/jpg"
- Penjelasan: Mencari antarmuka streaming video dari kamera IP (seringkali model Axis).
5. Penerapan dalam Auditi Keamanan yang Sah
Google Dorking adalah alat yang valid dalam siklus OSINT dan Vulnerability Assessment.
Langkah-Langkah Bertanggung Jawab:
- Pastikan Anda memiliki izin eksplisit untuk menguji keamanan aset target. Ini bisa berupa program bug bounty atau kontrak auditi formal.
- Gunakan dork untuk mengidentifikasi informasi sensitif yang terbuka secara tidak sengaja.
- Contoh:
site:perusahaan-saya.com filetype:xls password
- Contoh:
- Catat URL dan informasi yang ditemukan dengan jelas.
- Laporkan temuan tersebut kepada pemilik aset melalui saluran yang tepat dan aman.
- Bantu pemilik aset memahami risiko dan langkah mitigasinya (misalnya, menghapus file, mengonfigurasi
robots.txt, atau memperbaiki kontrol akses).
6. Mitigasi dan Pencegahan
Sebagai pemilik website, Anda dapat memitigasi risiko dari Google Dorking.
Gunakan file
robots.txtuntuk meminta mesin pencari agar tidak mengindeks direktori atau file sensitif (misalnya,Disallow: /admin/).Ini hanya permintaan, bukan perlindungan.
- Lindungi area administratif dan direktori sensitif dengan autentikasi yang kuat.
- Lakukan audit berkala terhadap konten publik Anda menggunakan kueri Google Dorking sederhana untuk melihat apa yang terlihat oleh publik.
- Jangan sertakan kata sandi, kunci API, atau informasi rahasia dalam kode sumber atau file teks yang dapat diakses publik.
7. Kesimpulan
Google Dorking adalah alat dua mata pedang. Di tangan peneliti keamanan yang etis, ini adalah instrumen yang tak ternilai untuk menemukan dan memperbaiki kerentanan. Di tangan pihak yang berniat jahat, ini dapat menjadi alat untuk mengumpulkan informasi secara berbahaya.
Pemahaman yang mendalam tentang sintaks dan penerapannya sangat penting bagi profesional keamanan siber, auditor, dan administrator sistem untuk melindungi aset digital mereka secara proaktif. Penggunaan alat ini harus selalu didasari oleh integritas dan kepatuhan terhadap kerangka hukum yang berlaku.