Home / Academy / Top 10 Dorks 2026

Top 10 Google Dorks 2026: Daftar Wajib Bug Hunter

Official Technical Guide • Diupdate: 11 Januari 2026 • Kategori: Reconnaissance

Dalam Bug Bounty, fase pengumpulan informasi (Information Gathering) adalah 80% dari kemenangan. Sebelum Anda menyentuh scanner otomatis, Google Dorks memungkinkan Anda melihat "low-hanging fruits" atau kerentanan yang sangat jelas terlihat namun terlewatkan.

Berikut adalah 10 dork paling kritis di tahun 2026, diurutkan berdasarkan potensi dampak (Impact) dan frekuensi temuan.

1. Exposed Environment Files (.env)

Ini adalah "Cawan Suci" (Holy Grail) dari web hacking modern. Framework seperti Laravel, Node.js, dan Django menggunakan file ini untuk menyimpan rahasia.

Critical Impact filetype:env "DB_PASSWORD" site:example.com
Analisis: Mencari file berekstensi .env yang didalamnya terdapat string "DB_PASSWORD".
Variasi: filename:.env, intext:"APP_KEY="
🛡️ Mitigasi: Konfigurasikan server web (Nginx/Apache) untuk menolak akses ke semua file yang diawali dengan titik (.*). Pastikan .env masuk dalam .gitignore.

2. Public Git Repositories

Folder .git berisi seluruh sejarah kode sumber Anda. Jika terekspos, penyerang dapat merekonstruksi source code backend Anda lengkap dengan hardcoded credentials lama.

High Impact inurl:"/.git" intitle:"Index of" site:example.com
Analisis: Mencari direktori .git yang index-nya terbuka.
Bahaya: Alat seperti git-dumper dapat mengunduh seluruh situs.

3. Log Files dengan Kredensial

File log seringkali mencatat data sensitif secara tidak sengaja, seperti password dalam parameter URL (GET request) atau pesan error database.

Medium-High Impact filetype:log OR filetype:txt intext:"password" site:example.com
Analisis: Log aplikasi, log akses server, atau dump debug yang tekstual.

4. SQL Database Dumps

Backup database adalah target emas. Seringkali admin melakukan backup cepat (mysqldump) dan menyimpannya di root folder publik dengan nama yang mudah ditebak.

Critical Impact filetype:sql intext:"INSERT INTO" "users" site:example.com
Analisis: File SQL murni yang berisi perintah insert data ke tabel pengguna.

5. Configuration Files (XML/YAML/CONF)

File ini memetakan infrastruktur internal. Mengetahui versi server, IP internal, dan path direktori memudahkan serangan lebih lanjut.

Info Disclosure filetype:xml OR filetype:conf OR filetype:yml intext:"password" site:example.com

6. Open Redirects & URL Parameters

Mencari parameter yang mengambil input URL lain. Ini berguna untuk menemukan kerentanan Open Redirect atau SSRF (Server-Side Request Forgery).

Web Vuln inurl:redir OR inurl:url OR inurl:redirect OR inurl:return OR inurl:src=http site:example.com

7. Dashboard & Admin Panels

Pintu masuk utama. Seringkali ditempatkan di subdomain atau path yang tidak standar untuk "keamanan melalui kegelapan".

High Impact intitle:"Dashboard" OR intitle:"Admin" OR inurl:login OR inurl:admin site:example.com

8. S3 Buckets Terbuka

Penyimpanan cloud yang salah konfigurasi. Google mengindeks bucket S3, Azure Blob, dan Google Cloud Storage yang "public read".

Data Leak site:s3.amazonaws.com "example" OR site:blob.core.windows.net "example"

9. WordPress Specific (User Enum)

WordPress memiliki struktur URL standar. Kita bisa mengecek direktori upload (biasanya ada shell yang diupload hacker lain) atau plugin rentan.

Web Vuln inurl:wp-content/uploads/ "backup" site:example.com

10. PHP Errors (Full Path Disclosure)

Memaksa aplikasi error agar memuntahkan "Stack Trace". Ini mengungkapkan path instalasi absolut (misal: /var/www/html/prod/...) yang berguna untuk serangan LFI (Local File Inclusion).

Intel filetype:php intext:"fatal error" OR intext:"syntax error" site:example.com

⚡ Jangan Mengetik Manual! Riskan Typo.

Gunakan generator kami untuk membangun query kompleks ini dengan dropdown menu yang presisi. Hemat waktu, temukan lebih banyak.

Ke Generator Dork King