Pengantar |
Istilah “hacking”
biasanya bermaksud kepada solusi “cepat dan kotor” dalam masalah-masalah
pemrograman atau teknik-teknik menarik untuk menyelesaikan suatu
pekerjaan. Tetapi apa yang dimaksud dengan “hacking” kepada mesin
Google? Pernahkah Anda melakukan pencarian kepada mesin Google, kemudian
Anda mendapatkan hasil yang terlalu banyak? Google hacking akan
memberitahukan kepada Anda beberapa trik untuk membuat pencarian yang
tepat. Google hacking dilakukan dengan memanfaatkan operator-operator
spesial Google.
Mesin pencari Google
menawarkan banyak fitur, termasuk bahasa dan penerjemahan dokumen;
pencarian web, gambar, newsgroup, katalog, dan berita, dan banyak lagi.
Fitur-fitur ini jelas menawarkan banyak manfaat bahkan untuk peselancar
web yang paling tidak paham sekalipun. Namun fitur yang sama ini juga
menawarkan kemungkinan yang jauh lebih berbahaya kepada pengguna
Internet yang paling berbahaya, termasuk hacker, komputer kriminal, pencuri identitas, dan bahkan teroris.
Artikel ini dibuat dengan 2
tujuan, yaitu menunjukkan teknik pencarian informasi tersembunyi secara
cepat dan mudah, dan yang kedua adalah memberikan pendidikan kepada
administrator server web dan komunitas sekuriti untuk menghentikan
bentuk-bentuk kebocoran informasi.
Artikel ini
ditujukan khusus untuk pembelajaran sisi positif, penyalahgunaan dalam
pembahasan artikel ini di luar tanggungjawab pengembang.
Pencarian Google dasar dapat dimulai dari www.google.com, tetapi kita pengguna dari Indonesia, biasanya mendapatkan alamat di www.google.co.id
seperti gambar 1 di atas. Masukkan beberapa istilah yang akan Anda cari
di kotak pencarian dan klik Enter atau klik tombol “Google Search”.
Hasil penelusuran berupa link (tautan) kepada halaman web yang dimaksud
akan muncul, disertai dengan deskripsi singkat. Dengan meng-klik link
tersebut, maka kita akan meninggalkan halaman Google dan berpindah ke
halaman web tersebut. Untuk kembali ke halaman Google, klik tombol “Back” di browser Anda.
Kata Kunci
Istilah yang Anda ketikkan di kotak pencarian Google disebut dengan kata kunci (keyword).
Pada saat mengetikkan kata kunci, perlu diingat bahwa semakin banyak
kata kunci yang Anda masukkan, semakin sempit pencarian dan semakin
spesifik hasil yang Anda dapatkan. Tentu saja dengan semakin spesifiknya
pencarian Anda, hasil pencarian semakin sedikit.
Kadang-kadang Anda ingin mencari dengan keyword
dalam bentuk frase. Kata kunci dalam bentuk frase dapat dibuat dengan
mengapit 2 atau lebih kata kunci Anda dengan 2 tanda petik seperti ini:
“anjing laut”. Maka Anda akan mendapatkan hasil berupa halaman-halaman
yang mengandung frase “anjing laut”, bukan yang hanya mengandung
“anjing” saja atau “laut” saja.
|
Dasar-dasar Pencarian di Google |
Operator Dasar Pencarian
Pertama-tama marilah kita
coba untuk belajar dasar-dasar pencarian dengan Google. Meski sederhana
fitur-fitur pencarian Google dasar sekalipun memberikan kita hasil yang
mengejutkan. Berikut adalah beberapa operator dasar yang dapat digunakan
untuk pencarian di Google:
|
Operator Spesial |
Sebelum kita masuk lebih dalam kepada teknik-teknik hacking
dengan Google, kita akan membahas terlebih dahulu operator-operator
spesial dari mesin pencari Google. Operator-operator ini akan banyak
membantu kita untuk hacking. Bila tidak memahami penggunaan operator-operator spesial, maka dijamin Anda tidak dapat menerapkan hacking di Google.
Operator spesial dari Google akan memperbaiki hasil pencarian kita. Format dasar penggunaan operator spesial adalah:
Perhatikan bahwa antara
operator dan kata kunci dipisahkan dengan titik dua, dan tidak ada spasi
di antara operator, tanda titik dua dan kata kunci.
Berikut beberapa operator spesial Google:
1. Operator site
Fungsi operator ini
sangat sederhana sekali, yaitu berfungsi untuk membantu mencari pada
website tertentu atau domain tertentu. Misalnya untuk mencari kata-kata
Panda dan Beruang hanya di situs www.wikipedia.org maka kita dapat mengetikkan keyword:
Anda dapat juga membalik posisi kata-kata kunci tersebut sebagai berikut:
Jangan lupa, bahwa
meskipun tidak ada operator AND, tanpa operator apapun di pencarian
Google sama artinya dengan operator AND. Sehingga kata kunci seperti
pencarian di atas sama juga artinya dengan:
Anda juga dapat
menggabungkan operator site: ini dengan operator dasar Google. Misalnya
untuk mengeliminasi situs tertentu kita tambahkan operator tanda minus
(-) di depan operator site: ini. Kata kunci:
akan menghasilkan
halaman-halaman situs yang mengandung kata-kata Panda dan Beruang,
tetapi bukan halaman-halaman yang berada di www.wikipedia.org.
2. Operator filetype
Kebanyakan dari hasil
pencarian Google adalah dokumen-dokumen HTML dan PDF. Untuk tipe-tipe
dokumen lainnya, seperti Microsoft Word, Excel dan lainnya yang tersedia
di web, kita dapat menggunakan operator ini. Dengan operator ini kita
dapat membatasi pencarian Google hanya pada tipe file yang ditentukan.
Tipe-tipe file yang didukung oleh mesin pencari Google adalah:
Misalnya untuk mencari
dokumen-dokumen tentang email dan sekurity yang bertipe Adobe Acrobat
PDF, gunakan kata kunci sebagai berikut:
Hasilnya tampak pada gambar berikut. Bila kita ingin mencari lebih dari satu tipe kombinasikan dengan operator OR, misalnya:
akan menghasilkan dokumen-dokumen tentang e-mail dan security yang tipe filenya Adobe Acrobat PDF atau Microsoft Word.
3. Operator link
Operator ini berfungsi untuk menemukan halaman web apa saja yang memiliki link kepada website tertentu. Misalnya kata kunci:
menghasilkan halaman-halaman situs yang mengandung istilah fisika dan memiliki link kepada situs e-dukasi.net
Operator ini sangat
bermanfaat bagi Anda yang merupakan pemilik atau penulis atau
administrator situs untuk mengetahui seberapa banyak situs lain
terhubung dengan situs Anda.
4. Operator intitle: dan allintitle:
Operator-operator ini membantu kita untuk menemukan website-website berdasarkan judul atau title.
Misalnya bila kita ingin mencari website-website dengan judul hukum Newton maka kita dapat memasukkan kata kunci sebagai berikut:
Seperti tampak pada
gambar di bawah, hasil pencarian dengan keyword di atas menghasilkan
halaman-halaman situs yang hanya memiliki judul “hukum Newton” saja.
Sedangkan pencarian dengan keyword:
menghasilkan
halaman-halaman yang berjudul hukum dan ada istilah Newton “di mana
saja”. Maksud “di mana saja” dalam hal ini adalah istilah Newton dapat
muncul di judul, di badan atau lainnya, seperti gambar di samping.
Bila kita ingin melakukan pencarian 2 kata kunci atau lebih dalam judul, maka kita gunakan operator allintitle:
Misalnya untuk kata kunci:
akan menghasilkan
halaman-halaman web yang judulnya mengandung istilah hukum dan Newton,
dan tidak hanya frase “hukum Newton”. Jadi mungkin saja halaman yang
terjaring dari oleh kata kunci di atas berjudul “hukum Newton”, “hukum
fisika Newton”, “hukum pertama Newton”, dan “hukum gerak Newton” seperti
gambar di bawah ini.
5. Operator inurl: dan allinurl:
Jika kita masukkan operator inurl:
dalam pencarian kita, maka Google akan membatasi hasil kepada
dokumen-dokumen yang mengandung kata kunci tersebut di URL. Contoh kata
kunci:
akan mencari halaman-halaman pada situs Google Guide dimana URL-nya mengandung kata “print”.
Seperti tampak pada gambar di bawah, halaman-halaman yang dihasilkan adalah halaman-halaman yang memiliki URL:
www.googleguide.com/print/adv_op_ref.pdf www.googleguide.com/print/calc._ref.pdf … dst..
Sebagaimana operator allintitle:, operator allinurl:
memasukkan semua kata kunci setelah operator ini sebagai syarat bahwa
semua kata kunci tersebut ditemukan dalam URL hasil temuan Google.
Misalnya:
akan menghasilkan halaman-halaman yang URL-nya mengandung kata-kata google dan faq.
Sebagaimana tampak di
bawah, halaman-halaman hasil pencarian adalah halaman yang URL-nya
mengandung kata google dan faq, seperti:
www.google.com/help/faq.html
answers.google.com/answers/faq.html labs.google.com/accessible/faq.html 6. Operator allintext:
Operator ini membatasi
hasil pencarian di Google hanya halaman-halaman yang di dalam isi/badan
teksnya mengandung kata-kata kunci. Misalnya pencarian dengan kata kunci
sebagai berikut:
akan menghasilkan halaman-halaman yang teks-nya mengandung kata-kata kimia, fisika dan matematika.
|
Teknik Google Hacking |
Dengan menggunakan
teknik-teknik dasar yang dikombinasikan dengan operator spesial, setiap
orang dapat melakukan pengumpulan informasi dan pencarian
“lubang-lubang” keamanan dengan menggunakan Google. Teknik-teknik ini
sering disebut dengan Google Hacking. Berikut ini adalah beberapa teknik
Google Hacking.
Pemetaan Situs
Untuk menemukan setiap
halaman web yang telah dikunjungi Google pada situs spesifik, kita
gunakan operator site:. Misalnya untuk query (pencarian) sebagai
berikut:
Query
tersebut mencari kata microsoft yang dibatasi hanya pada situs
http://www.microsoft.com. Berapa banyak halaman di web server Microsoft
yang mengandung kata microsoft? Menurut Google, hampir semuanya! Google
mencari tidak hanya isi dari halaman, tetapi juga judul dan URL. Kata
microsoft muncul di setiap URL dari situs http://www.microsoft.com.
Dengan satu query, seorang penyerang dapat mengumpulkan seluruh halaman web suatu situs yang disimpan oleh Google.
Hal itu berguna sekali untuk para hacker,
dimana salah satu langkah awal dari hacking adalah pengumpulan
informasi. Sedangkan informasi suatu situs tertentu telah dikumpulkan
oleh Google, sebagaimana kasus website Microsoft tersebut.
Menemukan Daftar Isi Direktori
Daftar isi direktori adalah pintu depan informasi yang penting. Setiap direktori yang dapat ditampilkan oleh web server ke publik memiliki judul “index of” dan isi teksnya diawali juga dengan frase “Index of”.
Seperti gambar di bawah ini, adalah direktori dari http://www.w3.org/Icons/
Oleh karenanya kita dapat mencari halaman seperti ini dengan query.
Namun query seperti itu akan menghasilkan hasil yang besar, bahkan akan mendapatkan hasil yang salah seperti:
Oleh karenanya kita perlu
menambahkan beberapa istilah yang ada dalam halaman daftar isi
direktori yang kita maksud. Misalnya, mereka memiliki frase “parent
directory”, kata-kata “name” dan “size”. Jadi kita bisa memperbaiki query kita sebagai berikut:
Menemukan Direktori Tertentu
Perhatikan bahwa untuk
direktori “/pub” maka judul halamannya adalah “Index of /pub”. Maka
untuk mencari direktori dengan nama dokumen, maka kata kuncinya adalah
Pencarian direktori yang
mengandung file tertentu juga dapat dilakukan dengan teknik ini.
Misalnya mencari contoh-contoh tugas akhir, maka kita dapat melakukan
pencarian dengan kata kunci sebagai berikut:
Anda dapat mengembangkan untuk pencarian-pencarian dokumen skripsi, daftar harga, foto dan lain-lain
Mencari Daftar Password
Google ternyata bukan
hanya sekedar pencari halaman web. File-file password dapat juga dicari
dengan google. Banyak sekali kata kunci yang dapat kita gunakan untuk
mencari password dari suatu web. Contoh kita dapat menggunakan kata
kunci:
Maka kita akan dapatkan beberapa halaman seperti ini dari hasil pencarian Google:
Setelah kita klik link di atas maka isinya adalah seperti gambar di bawah:
Teknik lain adalah mencari file password berdasarkan sifat-sifat aplikasi tertentu. Misalnya Microsoft Frontpage membuat file service.pwd di dalam direktori _vti_pvt di dalam direktori root. File ini berisi nama user dan passwordnya yang dapat digunakan untuk menyerang secara remote. Google ternyata mengindeks juga file-file seperti ini. Sehingga kita dapat memanfaatkan untuk mendapatkan username dan password dari suatu situs. Query lengkapnya adalah sebagai berikut:
Tanda “|” adalah sama maknanya dengan operator “OR” dan operatore ext: sama dengan operator filetype:
Informasi Versi Web Server
Salah satu langkah awal
para penyerang web adalah informasi tentang nama software dan versi dari
web server. Setiap software kemungkinan besar memiliki bug,
termasuk web server. Oleh karenanya, software-software tersebut terus
mengalami perbaikan dan versinya bertambah. Dengan mengetahui versi dari
web server, kita dapat mengetahui kelemahannya. Salah satu cara untuk
mengetahui versi dari web server.
Nama software dapat kita ketahui dari operator intitle:”Index of” di bagian bawah terdapat informasi “Server at”, yang menunjukkan nama software.
Dari gambar di bawah diketahui bahwa situs ini menggunakan server Apache versi 2.
Tentu saja setiap software memiliki karakteristik tersendiri. Setiap web server biasanya memilki halaman test,
yang sering digunakan oleh administrator untuk menguji web server
sebelum digunakan. Berikut ini adalah beberapa software web server dan
versinya beserta contoh query yang dapat digunakan untuk mengetahui
informasinya.
File Database
Kebanyakan adminstrator menyimpan database dalam nama-nama yang mudah dipahami.
Misalnya admin.mdb. Maka kita dapat menggunakan pengetahuan kita seperti ini untuk berburu file-file database dengan operator intitle:”Index of”
Contoh:
Selanjutnya kita dapat mendownload
data admin.mdb tersebut dan melihat isinya. Pengetahuan penyerang
tentang isi database tersebut dapat digunakan selanjutnya untuk
melakukan serangan-serangan kepada situs atau sistem kita.
Hal yang sama juga dapat dilakukan untuk file-file database lainnya seperti: member.mdb, password.mdb dan lain-lain.
Masih tentang database,
kebanyakan website-website sekarang menggunakan database MySQL.
Mengakses langsung melalui command-line dengan perintah-perintah SQL
sangat sulit bagi sebagian besar administrator web. Oleh karena itu
mereka banyak menggunakan aplikasi pembantu seperti PHPMyAdmin.
PHPMyAdmin merupakan aplikasi antar-muka database MySQL berbasis web.
Semua operasi manipulasi database MySQL semakin mudah dengan PHPMyAdmin.
Sayangnya kemalasan para
administrator web untuk belajar perintah-perintah SQL tidak dibarengi
dengan kehati-hatian terhadap masalah keamanan. Misalnya secara default
PHPMyAdmin dapat diakses dari publik, dan perlu dikonfigurasi setelah
proses pengembangan selesai. Bila tidak, maka orang lain yang tidak
berhak dapat mengaksesnya.
Misalnya dengan query berikut kita dapat menemukan website PHPMyAdmin yang dapat diakses secara bebas: intitle:phpmyadmin" "running on localhost"
Contoh hasil query di atas:
Setelah salah satu link diklik, maka kita dapat masuk dan fitur membuat database “create new database” tersedia aktif.
Seperti tampak pada gambar di atas, kita dapat masuk, mengetahui versi MySQL, nomor portnya serta mampu membuat database baru.
File Konfigurasi Database
Sistem berbasis web biasanya memiliki file konfigurasi untuk koneksi ke database. Sebagian besar sistem memberi nama file konfigurasi itu dengan config.php, lainnya memberi nama dengan connector.txt atau config.inc. Kita dapat menggunakan query sebagai berikut untuk mendapatkan file-file tersebut:
atau agar lebih spesifik kita perbaiki query dengan menambahkan kata kunci “parent directory” sebagai berikut:
Selanjutnya kita dapat download file-file konfigurasi tersebut, dan kita buka dengan editor teks seperti notepad, maka kita akan dapat mengetahui informasi username dan password untuk koneksi ke database.
Berikut ini adalah contoh file-file konfigurasi yang berhasil di download dan dibuka dengan editor teks.
Pada gambar di atas, kita dapat mengetahui nama database, nama user dan password
untuk mengakses database tersebut. Langkah selanjutnya yang diperlukan
bagi penyerang untuk mencapai tujuannya adalah mengakses database dengan
informasi tersebut, kemudian melakukan perubahan-perubahan database.
Akibatnya dapat sangat fatal, sejak hanya perubahan kecil tampilan
teks-teks, sampai perubahan secara menyeluruh wajah, dan yang paling
jahat adalah merubah informasi finansial atau penting lainnya.
Operator-Operator Lainnya
Selain operator dasar dan
spesial yang telah kita bahas sebelumnya, ada beberapa operator lain
yang menarik dari Google. Berikut adalah daftar dari operator-operator
tersebut.
Dan masih banyak lagi operator lainnya. Selanjutnya silahkan lihat di http://www.googleguide.com/advanced_operators_reference.html
|
Tools Google Hacking |
Kita telah belajar Google
Hacking dengan memanfaatkan kombinasi teknik dasar, operator spesial
dan kreatifitas. Sekarang kita akan memanfaatkan tools (alat-bantu) yang
telah disediakan Google untuk kita. Aplikasi Google Hack ini sangat
membantu kita agar mudah melakukan pencarian. Orang awam sekalipun dapat
melakuan pencarian yang rumit, tanpa harus menghafal operator-operator
spesial Google. Meskipun demikian Google Hack tidak bertujuan untuk
membantu seseorang melakukan penyerangan kepada suatu situs, tetapi
semata-mata untuk menampilkan fitur-fitur yang tidak terlihat saat kita
menjalankan mesin pencari Google.
Aplikasi Google Hack dapat Anda download dari http://code.google.com/p/googlehacks/
Untuk sistem operasi Linux
pilih yang berekstensi tar.gz, untuk Windows yang berekstensi exe dan
yang Machintos pilih yang berekstensi dmg.
Instalasi Google Hack
1. Baca baik-baik perjanjian dan klik “I Agree”
2. Pilih komponen yang akan diinstall dan klik “Next”.
3. Tentukan folder tempat dimana Google Hack akan diinstall dan klik “Next”
4. Pilih nama direktori di Start Menu dimana link ke file eksekusi Google Hack akan diinstall dan klik “Next”
Setelah instalasi Google Hack selesai, maka Anda dapat menjalankannya dari menu Start > All Program > Google Hacks > Google Hacks
Mencari Lagu
Seperti tampak gambar di
atas, Google Hack memiliki opsi-opsi pencarian tipe pencarian dan tipe
file. Hal ini memudahkan pengguna yang awam terhadap operator Google.
Sebagai contoh untuk
pencarian lagu “Indonesia Raya”, kita dapat mengklik tipe “Music” dan
menentukan tipe file atau ekstensi file yaitu mp3 dan wma.
Setelah diklik tombol
“Search”, maka aplikasi Google Hacks akan menjalankan browser default
sistem operasi kita, dan mengakses mesin pencari Google dan memasukkan
keyword:
Ternyata query
yang dikirimkan Google Hacks kepada mesin pencari Google cukup kompleks.
Kita dapat belajar operator-operator pencarian Google lainnya dari
Google Hacks.
Berikut adalah gambar hasil tampilan dari query di atas.
Untuk memahami lebih dalam operator-operator Google, mari kita coba membahas query yang dikirimkan oleh Google Hacks dalam pencarian di atas.
Query:
Maknanya setiap operatornya
Mencari Buku atau Dokumen
Untuk mencari buku atau
dokumen, masukkan judul buku atau dokumen di kotak “Search String”.
Pilih tipe pencarian “Book” dan tentukan tipe file yang dicari,
misalnya: pdf untuk Adobe Acrobat PDF, rtf dan doc untuk Microsoft Word.
Misalnya untuk mencari buku berjudul “Komputer”, opsi-opsi yang kita pilih adalah sebagaimana tampak dalam gambar di bawah ini.
Hasil query yang dikirimkan Google Hacks kepada mesin pencari Google adalah:
|
Referensi |
Untuk memperdalam pengetahuan Google Hacking, Anda dapat mengakses informasi-informasi berikut:
Google Hacking Database:
Referensi
Johnny Long, Google Hacking for Penetration Testers, Syngress Publishing, 2005
Google, Google Guide Quick Reference: Google Advanced Operators (Cheat Sheet), http://www.googleguide.com/advanced_operators_reference.html, tanggal akses: 15 Maret 2009
Yudha Yogasara, Google Dorks: Senjata Hacking dengan Google
|
0 Komentar