Mencari SQL Dumps & Backup Bocor

Diupdate: 11 Januari 2026 • Kategori: Database Security • Level: Intermediate

Database dump adalah file (biasanya .sql) yang berisi struktur tabel dan data dari sebuah database. Admin sistem sering membuat backup ini sebelum melakukan maintenance server dan menyimpannya di direktori web yang "mudah diakses" agar bisa diunduh.

Masalahnya, Googlebot juga bisa mengunduhnya. Menemukan file ini berarti mendapatkan akses penuh ke database tanpa perlu melakukan SQL Injection.

1. Ekstensi File Target

Kita tidak hanya mencari .sql. Ada banyak format arsip yang digunakan untuk kompresi database besar:

.sql (Plain text SQL commands)
.sql.gz, .sql.zip, .sql.tar.gz (Compressed)
.bak (Generic backup)
.db, .sqlite (SQLite databases)

2. Struktur Dork SQL

File SQL selalu memiliki header atau perintah tertentu di dalamnya yang unik. Kita menggunakan operator intext: untuk mencocokkan isi file tersebut.

Basic Dork:

filetype:sql "INSERT INTO" "users"

Ini mencari file ekstensi .sql yang berisi perintah memasukkan data ke tabel "users".

WordPress Dumps:

filetype:sql intext:"wp_users" intext:"wp_posts"

Magento/E-commerce Dumps:

filetype:sql "INSERT INTO" "admin_user"

Dork ini sangat berbahaya karena menargetkan kredensial admin toko online.

3. Mencari Berdasarkan Nama File (Filename)

Admin sering malas memberi nama file. Mereka menggunakan pola standar.

intitle:"index of" "database.sql"
intitle:"index of" "backup.sql"
intitle:"index of" "dump.sql"
intitle:"index of" "localhost.sql"

4. Bahaya "Dump" PhpMyAdmin

Ketika Anda mengekspor database dari PhpMyAdmin, file tersebut memiliki komentar header khusus yang bisa di dorking.

intext:"-- phpMyAdmin SQL Dump" filetype:sql

Dork ini akan menampilkan ribuan database yang terekspos di seluruh dunia.

DANGER ZONE

File SQL seringkali berisi:

Email dan Password Hash (MD5, Blowfish, Argon2).
Alamat rumah dan nomor telepon pelanggan.
Token sesi aktif.
Kartu Kredit (jika situs tidak patuh PCI-DSS).

Jika Anda menemukan file ini, JANGAN DIUNDUH membabi buta. Laporkan celah ini ke pemilik situs segera.

5. Memvalidasi Temuan

Seringkali Google menampilkan hasil palsu atau file contoh (dummy). Anda bisa memvalidasi dengan melihat ukuran file di "Index of" atau melihat pratinjau teks (snippet) di hasil pencarian Google.

Jika ukuran file 0 KB atau 1 KB, kemungkinan kosong/sampah.
Jika ukuran 50 MB ke atas, kemungkinan besar itu database asli.

🚀 Mulai Audit Database

Cek apakah backup database organisasi Anda terekspos di Google. Gunakan tool kami untuk deep scan.

Ke Generator Dork King