Teknik Google Hacking

Pengantar

Istilah “hacking” biasanya bermaksud kepada solusi “cepat dan kotor” dalam masalah-masalah pemrograman atau teknik-teknik menarik untuk menyelesaikan suatu pekerjaan. Tetapi apa yang dimaksud dengan “hacking” kepada mesin Google? Pernahkah Anda melakukan pencarian kepada mesin Google, kemudian Anda mendapatkan hasil yang terlalu banyak? Google hacking akan memberitahukan kepada Anda beberapa trik untuk membuat pencarian yang tepat. Google hacking dilakukan dengan memanfaatkan operator-operator spesial Google.

Mesin pencari Google menawarkan banyak fitur, termasuk bahasa dan penerjemahan dokumen; pencarian web, gambar, newsgroup, katalog, dan berita, dan banyak lagi. Fitur-fitur ini jelas menawarkan banyak manfaat bahkan untuk peselancar web yang paling tidak paham sekalipun. Namun fitur yang sama ini juga menawarkan kemungkinan yang jauh lebih berbahaya kepada pengguna Internet yang paling berbahaya, termasuk hacker, komputer kriminal, pencuri identitas, dan bahkan teroris.

Artikel ini dibuat dengan 2 tujuan, yaitu menunjukkan teknik pencarian informasi tersembunyi secara cepat dan mudah, dan yang kedua adalah memberikan pendidikan kepada administrator server web dan komunitas sekuriti untuk menghentikan bentuk-bentuk kebocoran informasi.

Artikel ini ditujukan khusus untuk pembelajaran sisi positif, penyalahgunaan dalam pembahasan artikel ini di luar tanggungjawab pengembang.

Pencarian Google dasar dapat dimulai dari www.google.com, tetapi kita pengguna dari Indonesia, biasanya mendapatkan alamat di www.google.co.id seperti gambar 1 di atas. Masukkan beberapa istilah yang akan Anda cari di kotak pencarian dan klik Enter atau klik tombol “Google Search”. Hasil penelusuran berupa link (tautan) kepada halaman web yang dimaksud akan muncul, disertai dengan deskripsi singkat. Dengan meng-klik link tersebut, maka kita akan meninggalkan halaman Google dan berpindah ke halaman web tersebut. Untuk kembali ke halaman Google, klik tombol “Back” di browser Anda.

Kata Kunci

Istilah yang Anda ketikkan di kotak pencarian Google disebut dengan kata kunci (keyword). Pada saat mengetikkan kata kunci, perlu diingat bahwa semakin banyak kata kunci yang Anda masukkan, semakin sempit pencarian dan semakin spesifik hasil yang Anda dapatkan. Tentu saja dengan semakin spesifiknya pencarian Anda, hasil pencarian semakin sedikit.

Kadang-kadang Anda ingin mencari dengan keyword dalam bentuk frase. Kata kunci dalam bentuk frase dapat dibuat dengan mengapit 2 atau lebih kata kunci Anda dengan 2 tanda petik seperti ini: “anjing laut”. Maka Anda akan mendapatkan hasil berupa halaman-halaman yang mengandung frase “anjing laut”, bukan yang hanya mengandung “anjing” saja atau “laut” saja.

Dasar-dasar Pencarian di Google

Operator Dasar Pencarian

Pertama-tama marilah kita coba untuk belajar dasar-dasar pencarian dengan Google. Meski sederhana fitur-fitur pencarian Google dasar sekalipun memberikan kita hasil yang mengejutkan. Berikut adalah beberapa operator dasar yang dapat digunakan untuk pencarian di Google:

Tanda plus (+) akan memaksa Google untuk menghasilkan pencarian yang mengandung semua kata kunci yang dimaksud. Misalnya pencarian dengan kata-kata kunci: +edukasi +diknas akan menghasilkan halaman-halaman web yang mengandung persis 2 kata edukasi dan diknas.

Operator AND memiliki makna sama dengan tanda plus (+). Sesungguhnya bila kita memasukkan beberapa kata kunci yang dipisahkan hanya dengan spasi, tanpa operator apapun, maka hasilnya sama dengan operator AND. Misalnya pencarian dengan kata-kata kunci: +edukasi +diknas sama dengan edukasi AND diknas dan sama juga dengan edukasi diknas.

Operator OR akan menghasilkan halaman-halaman yang mengandung salah satu atau semua kata kunci. Misalnya kata kunci: Mercury OR Venus akan menghasilkan halaman-halaman yang mengandung hanya kata kunci Mercury, atau hanya Venus atau kedua-duanya.

Tanda minus (-) akan memaksa Google untuk menghasilkan halaman yang tidak mengandung kata kunci tersebut.

Tanda petik doble (“”) digunakan untuk mengapit frase, kata kunci yang terdiri dari 2 atau lebih kata.

Tanda tilda (~) digunakan untuk mencari kata-kata yang memiliki sinonim. Misalnya kata kunci: ~earth akan menghasilkan halaman-halaman yang mengandung kata-kata earth, space, world dan lain-lain.

Operator Spesial

Sebelum kita masuk lebih dalam kepada teknik-teknik hacking dengan Google, kita akan membahas terlebih dahulu operator-operator spesial dari mesin pencari Google. Operator-operator ini akan banyak membantu kita untuk hacking. Bila tidak memahami penggunaan operator-operator spesial, maka dijamin Anda tidak dapat menerapkan hacking di Google.

Operator spesial dari Google akan memperbaiki hasil pencarian kita. Format dasar penggunaan operator spesial adalah:

Perhatikan bahwa antara operator dan kata kunci dipisahkan dengan titik dua, dan tidak ada spasi di antara operator, tanda titik dua dan kata kunci.

Berikut beberapa operator spesial Google:

1. Operator site

Fungsi operator ini sangat sederhana sekali, yaitu berfungsi untuk membantu mencari pada website tertentu atau domain tertentu. Misalnya untuk mencari kata-kata Panda dan Beruang hanya di situs www.wikipedia.org maka kita dapat mengetikkan keyword:

Anda dapat juga membalik posisi kata-kata kunci tersebut sebagai berikut:

Jangan lupa, bahwa meskipun tidak ada operator AND, tanpa operator apapun di pencarian Google sama artinya dengan operator AND. Sehingga kata kunci seperti pencarian di atas sama juga artinya dengan:

Anda juga dapat menggabungkan operator site: ini dengan operator dasar Google. Misalnya untuk mengeliminasi situs tertentu kita tambahkan operator tanda minus (-) di depan operator site: ini. Kata kunci:

akan menghasilkan halaman-halaman situs yang mengandung kata-kata Panda dan Beruang, tetapi bukan halaman-halaman yang berada di www.wikipedia.org.

2. Operator filetype

Kebanyakan dari hasil pencarian Google adalah dokumen-dokumen HTML dan PDF. Untuk tipe-tipe dokumen lainnya, seperti Microsoft Word, Excel dan lainnya yang tersedia di web, kita dapat menggunakan operator ini. Dengan operator ini kita dapat membatasi pencarian Google hanya pada tipe file yang ditentukan. Tipe-tipe file yang didukung oleh mesin pencari Google adalah:

PDF
PS
DOC, DOCX
XLS, XLSX
PPT, PPTX
RTF

Misalnya untuk mencari dokumen-dokumen tentang email dan sekurity yang bertipe Adobe Acrobat PDF, gunakan kata kunci sebagai berikut:

Hasilnya tampak pada gambar berikut. Bila kita ingin mencari lebih dari satu tipe kombinasikan dengan operator OR, misalnya:

akan menghasilkan dokumen-dokumen tentang e-mail dan security yang tipe filenya Adobe Acrobat PDF atau Microsoft Word.

Hasil pencarian dengan file tertentu (misal: PDF)

3. Operator link

Operator ini berfungsi untuk menemukan halaman web apa saja yang memiliki link kepada website tertentu. Misalnya kata kunci:

menghasilkan halaman-halaman situs yang mengandung istilah fisika dan memiliki link kepada situs e-dukasi.net

Operator ini sangat bermanfaat bagi Anda yang merupakan pemilik atau penulis atau administrator situs untuk mengetahui seberapa banyak situs lain terhubung dengan situs Anda.

Hasil pencarian sebuah kata kunci pada website tertentu

4. Operator intitle: dan allintitle:

Operator-operator ini membantu kita untuk menemukan website-website berdasarkan judul atau title.
Misalnya bila kita ingin mencari website-website dengan judul hukum Newton maka kita dapat memasukkan kata kunci sebagai berikut:

Seperti tampak pada gambar di bawah, hasil pencarian dengan keyword di atas menghasilkan halaman-halaman situs yang hanya memiliki judul “hukum Newton” saja.

Hasil pencarian berdasarkan judul tertentu

Hasil pencarian berdasarkan istilah di mana saja

Sedangkan pencarian dengan keyword:

menghasilkan halaman-halaman yang berjudul hukum dan ada istilah Newton “di mana saja”. Maksud “di mana saja” dalam hal ini adalah istilah Newton dapat muncul di judul, di badan atau lainnya, seperti gambar di samping.

Bila kita ingin melakukan pencarian 2 kata kunci atau lebih dalam judul, maka kita gunakan operator allintitle:
Misalnya untuk kata kunci:

akan menghasilkan halaman-halaman web yang judulnya mengandung istilah hukum dan Newton, dan tidak hanya frase “hukum Newton”. Jadi mungkin saja halaman yang terjaring dari oleh kata kunci di atas berjudul “hukum Newton”, “hukum fisika Newton”, “hukum pertama Newton”, dan “hukum gerak Newton” seperti gambar di bawah ini.

Hasil pencarian berdasarkan dua kata kunci

5. Operator inurl: dan allinurl:

Jika kita masukkan operator inurl: dalam pencarian kita, maka Google akan membatasi hasil kepada dokumen-dokumen yang mengandung kata kunci tersebut di URL. Contoh kata kunci:

akan mencari halaman-halaman pada situs Google Guide dimana URL-nya mengandung kata “print”.

Seperti tampak pada gambar di bawah, halaman-halaman yang dihasilkan adalah halaman-halaman yang memiliki URL:
       www.googleguide.com/print/adv_op_ref.pdf
       www.googleguide.com/print/calc._ref.pdf …
       dst..

Hasil pencarian berdasarkan kata kunci pada sebuah URL

Sebagaimana operator allintitle:, operator allinurl: memasukkan semua kata kunci setelah operator ini sebagai syarat bahwa semua kata kunci tersebut ditemukan dalam URL hasil temuan Google.
Misalnya:

akan menghasilkan halaman-halaman yang URL-nya mengandung kata-kata google dan faq.

Sebagaimana tampak di bawah, halaman-halaman hasil pencarian adalah halaman yang URL-nya mengandung kata google dan faq, seperti:

www.google.com/help/faq.html
answers.google.com/answers/faq.html
labs.google.com/accessible/faq.html

Hasil pencarian berdasarkan dua kata kunci yang telah ditentukan

6. Operator allintext:

Operator ini membatasi hasil pencarian di Google hanya halaman-halaman yang di dalam isi/badan teksnya mengandung kata-kata kunci. Misalnya pencarian dengan kata kunci sebagai berikut:

akan menghasilkan halaman-halaman yang teks-nya mengandung kata-kata kimia, fisika dan matematika.

Hasil pencarian berdasarkan kata kunci pada badan teks atau isi

Teknik Google Hacking

Dengan menggunakan teknik-teknik dasar yang dikombinasikan dengan operator spesial, setiap orang dapat melakukan pengumpulan informasi dan pencarian “lubang-lubang” keamanan dengan menggunakan Google. Teknik-teknik ini sering disebut dengan Google Hacking. Berikut ini adalah beberapa teknik Google Hacking.

Pemetaan Situs

Untuk menemukan setiap halaman web yang telah dikunjungi Google pada situs spesifik, kita gunakan operator site:. Misalnya untuk query (pencarian) sebagai berikut:

Query tersebut mencari kata microsoft yang dibatasi hanya pada situs http://www.microsoft.com. Berapa banyak halaman di web server Microsoft yang mengandung kata microsoft? Menurut Google, hampir semuanya! Google mencari tidak hanya isi dari halaman, tetapi juga judul dan URL. Kata microsoft muncul di setiap URL dari situs http://www.microsoft.com. Dengan satu query, seorang penyerang dapat mengumpulkan seluruh halaman web suatu situs yang disimpan oleh Google.

Hal itu berguna sekali untuk para hacker, dimana salah satu langkah awal dari hacking adalah pengumpulan informasi. Sedangkan informasi suatu situs tertentu telah dikumpulkan oleh Google, sebagaimana kasus website Microsoft tersebut.

Menemukan Daftar Isi Direktori

Daftar isi direktori adalah pintu depan informasi yang penting. Setiap direktori yang dapat ditampilkan oleh web server ke publik memiliki judul “index of” dan isi teksnya diawali juga dengan frase “Index of”.
Seperti gambar di bawah ini, adalah direktori dari http://www.w3.org/Icons/

Contoh hasil pencarian daftar isi direktori pada sebuah website

Oleh karenanya kita dapat mencari halaman seperti ini dengan query.

Namun query seperti itu akan menghasilkan hasil yang besar, bahkan akan mendapatkan hasil yang salah seperti:

Index of Native American Resource on the Internet
LibDex – Worldwide index of library catalogoue

Oleh karenanya kita perlu menambahkan beberapa istilah yang ada dalam halaman daftar isi direktori yang kita maksud. Misalnya, mereka memiliki frase “parent directory”, kata-kata “name” dan “size”. Jadi kita bisa memperbaiki query kita sebagai berikut:

Menemukan Direktori Tertentu

Perhatikan bahwa untuk direktori “/pub” maka judul halamannya adalah “Index of /pub”. Maka untuk mencari direktori dengan nama dokumen, maka kata kuncinya adalah

Pencarian direktori yang mengandung file tertentu juga dapat dilakukan dengan teknik ini. Misalnya mencari contoh-contoh tugas akhir, maka kita dapat melakukan pencarian dengan kata kunci sebagai berikut:

Anda dapat mengembangkan untuk pencarian-pencarian dokumen skripsi, daftar harga, foto dan lain-lain

Contoh hasil pencarian direktori tertentu pada sebuah website

Mencari Daftar Password

Google ternyata bukan hanya sekedar pencari halaman web. File-file password dapat juga dicari dengan google. Banyak sekali kata kunci yang dapat kita gunakan untuk mencari password dari suatu web. Contoh kita dapat menggunakan kata kunci:

Maka kita akan dapatkan beberapa halaman seperti ini dari hasil pencarian Google:

Setelah kita klik link di atas maka isinya adalah seperti gambar di bawah:

Teknik lain adalah mencari file password berdasarkan sifat-sifat aplikasi tertentu. Misalnya Microsoft Frontpage membuat file service.pwd di dalam direktori _vti_pvt di dalam direktori root. File ini berisi nama user dan passwordnya yang dapat digunakan untuk menyerang secara remote. Google ternyata mengindeks juga file-file seperti ini. Sehingga kita dapat memanfaatkan untuk mendapatkan username dan password dari suatu situs. Query lengkapnya adalah sebagai berikut:

Tanda “|” adalah sama maknanya dengan operator “OR” dan operatore ext: sama dengan operator filetype:

Informasi Versi Web Server

Salah satu langkah awal para penyerang web adalah informasi tentang nama software dan versi dari web server. Setiap software kemungkinan besar memiliki bug, termasuk web server. Oleh karenanya, software-software tersebut terus mengalami perbaikan dan versinya bertambah. Dengan mengetahui versi dari web server, kita dapat mengetahui kelemahannya. Salah satu cara untuk mengetahui versi dari web server.

Nama software dapat kita ketahui dari operator intitle:”Index of” di bagian bawah terdapat informasi “Server at”, yang menunjukkan nama software.

Dari gambar di bawah diketahui bahwa situs ini menggunakan server Apache versi 2.

Contoh hasil pencarian informasi pada web server

Tentu saja setiap software memiliki karakteristik tersendiri. Setiap web server biasanya memilki halaman test, yang sering digunakan oleh administrator untuk menguji web server sebelum digunakan. Berikut ini adalah beberapa software web server dan versinya beserta contoh query yang dapat digunakan untuk mengetahui informasinya.

File Database

Kebanyakan adminstrator menyimpan database dalam nama-nama yang mudah dipahami.
Misalnya admin.mdb. Maka kita dapat menggunakan pengetahuan kita seperti ini untuk berburu file-file database dengan operator intitle:”Index of”

Contoh:

Selanjutnya kita dapat mendownload data admin.mdb tersebut dan melihat isinya. Pengetahuan penyerang tentang isi database tersebut dapat digunakan selanjutnya untuk melakukan serangan-serangan kepada situs atau sistem kita.

Hal yang sama juga dapat dilakukan untuk file-file database lainnya seperti: member.mdb, password.mdb dan lain-lain.

Masih tentang database, kebanyakan website-website sekarang menggunakan database MySQL. Mengakses langsung melalui command-line dengan perintah-perintah SQL sangat sulit bagi sebagian besar administrator web. Oleh karena itu mereka banyak menggunakan aplikasi pembantu seperti PHPMyAdmin. PHPMyAdmin merupakan aplikasi antar-muka database MySQL berbasis web. Semua operasi manipulasi database MySQL semakin mudah dengan PHPMyAdmin.

Sayangnya kemalasan para administrator web untuk belajar perintah-perintah SQL tidak dibarengi dengan kehati-hatian terhadap masalah keamanan. Misalnya secara default PHPMyAdmin dapat diakses dari publik, dan perlu dikonfigurasi setelah proses pengembangan selesai. Bila tidak, maka orang lain yang tidak berhak dapat mengaksesnya.
Misalnya dengan query berikut kita dapat menemukan website PHPMyAdmin yang dapat diakses secara bebas: intitle:phpmyadmin" "running on localhost"

Contoh hasil query di atas:

Contoh hasil pencarian aplikasid database phpmyadmin

Setelah salah satu link diklik, maka kita dapat masuk dan fitur membuat database “create new database” tersedia aktif.

Seperti tampak pada gambar di atas, kita dapat masuk, mengetahui versi MySQL, nomor portnya serta mampu membuat database baru.

File Konfigurasi Database

Sistem berbasis web biasanya memiliki file konfigurasi untuk koneksi ke database. Sebagian besar sistem memberi nama file konfigurasi itu dengan config.php, lainnya memberi nama dengan connector.txt atau config.inc. Kita dapat menggunakan query sebagai berikut untuk mendapatkan file-file tersebut:

atau agar lebih spesifik kita perbaiki query dengan menambahkan kata kunci “parent directory” sebagai berikut:

Contoh hasil pencarian file konfigurasi database

Selanjutnya kita dapat download file-file konfigurasi tersebut, dan kita buka dengan editor teks seperti notepad, maka kita akan dapat mengetahui informasi username dan password untuk koneksi ke database.

Berikut ini adalah contoh file-file konfigurasi yang berhasil di download dan dibuka dengan editor teks.

Contoh hasil pencarian file config.php yang dapat didownload

Pada gambar di atas, kita dapat mengetahui nama database, nama user dan password untuk mengakses database tersebut. Langkah selanjutnya yang diperlukan bagi penyerang untuk mencapai tujuannya adalah mengakses database dengan informasi tersebut, kemudian melakukan perubahan-perubahan database. Akibatnya dapat sangat fatal, sejak hanya perubahan kecil tampilan teks-teks, sampai perubahan secara menyeluruh wajah, dan yang paling jahat adalah merubah informasi finansial atau penting lainnya.

Operator-Operator Lainnya

Selain operator dasar dan spesial yang telah kita bahas sebelumnya, ada beberapa operator lain yang menarik dari Google. Berikut adalah daftar dari operator-operator tersebut.

Dan masih banyak lagi operator lainnya. Selanjutnya silahkan lihat di http://www.googleguide.com/advanced_operators_reference.html

Tools Google Hacking

Kita telah belajar Google Hacking dengan memanfaatkan kombinasi teknik dasar, operator spesial dan kreatifitas. Sekarang kita akan memanfaatkan tools (alat-bantu) yang telah disediakan Google untuk kita. Aplikasi Google Hack ini sangat membantu kita agar mudah melakukan pencarian. Orang awam sekalipun dapat melakuan pencarian yang rumit, tanpa harus menghafal operator-operator spesial Google. Meskipun demikian Google Hack tidak bertujuan untuk membantu seseorang melakukan penyerangan kepada suatu situs, tetapi semata-mata untuk menampilkan fitur-fitur yang tidak terlihat saat kita menjalankan mesin pencari Google.

Aplikasi Google Hack dapat Anda download dari http://code.google.com/p/googlehacks/

Untuk sistem operasi Linux pilih yang berekstensi tar.gz, untuk Windows yang berekstensi exe dan yang Machintos pilih yang berekstensi dmg.

Instalasi Google Hack

1. Baca baik-baik perjanjian dan klik “I Agree”

2. Pilih komponen yang akan diinstall dan klik “Next”.

3. Tentukan folder tempat dimana Google Hack akan diinstall dan klik “Next”

4. Pilih nama direktori di Start Menu dimana link ke file eksekusi Google Hack akan diinstall dan klik “Next”

Setelah instalasi Google Hack selesai, maka Anda dapat menjalankannya dari menu Start > All Program > Google Hacks > Google Hacks

Mencari Lagu

Seperti tampak gambar di atas, Google Hack memiliki opsi-opsi pencarian tipe pencarian dan tipe file. Hal ini memudahkan pengguna yang awam terhadap operator Google.

Sebagai contoh untuk pencarian lagu “Indonesia Raya”, kita dapat mengklik tipe “Music” dan menentukan tipe file atau ekstensi file yaitu mp3 dan wma.

Setelah diklik tombol “Search”, maka aplikasi Google Hacks akan menjalankan browser default sistem operasi kita, dan mengakses mesin pencari Google dan memasukkan keyword:

Ternyata query yang dikirimkan Google Hacks kepada mesin pencari Google cukup kompleks. Kita dapat belajar operator-operator pencarian Google lainnya dari Google Hacks.

Berikut adalah gambar hasil tampilan dari query di atas.

Contoh hasil pencarian dengan Tools Google Hacking

Untuk memahami lebih dalam operator-operator Google, mari kita coba membahas query yang dikirimkan oleh Google Hacks dalam pencarian di atas.

Query:

Maknanya setiap operatornya

Mencari Buku atau Dokumen

Untuk mencari buku atau dokumen, masukkan judul buku atau dokumen di kotak “Search String”. Pilih tipe pencarian “Book” dan tentukan tipe file yang dicari, misalnya: pdf untuk Adobe Acrobat PDF, rtf dan doc untuk Microsoft Word.

Misalnya untuk mencari buku berjudul “Komputer”, opsi-opsi yang kita pilih adalah sebagaimana tampak dalam gambar di bawah ini.

Hasil query yang dikirimkan Google Hacks kepada mesin pencari Google adalah:

Referensi

Untuk memperdalam pengetahuan Google Hacking, Anda dapat mengakses informasi-informasi berikut:

Google Hacking Database:

http://johnny.ihackstuff.com/ghdb.php Advanced Google Operators

http://www.googleguide.com/advanced_operators.html Over 1000 Google Tips And Hacks From TechRecipes

http://www.tech-recipes.com/google.html Printable Google Operator Cheat Sheet (from Google.com)

http://www.google.com/help/cheatsheet.html Google Hack Honeypot http://ghh.sourceforge.net/

Referensi

Johnny Long, Google Hacking for Penetration Testers, Syngress Publishing, 2005

Google, Google Guide Quick Reference: Google Advanced Operators (Cheat Sheet), http://www.googleguide.com/advanced_operators_reference.html, tanggal akses: 15 Maret 2009

Yudha Yogasara, Google Dorks: Senjata Hacking dengan Google