1. Giới thiệu
GDorks là một dự án mã nguồn mở do Ishanoshada phát triển, nhằm mục đích hỗ trợ các chuyên gia bảo mật tự động sinh ra các truy vấn Google Dorks để kiểm thử lỗ hổng web. Với GDorks, việc thu thập danh sách Dork phù hợp cho từng mục tiêu trở nên nhanh chóng, có hệ thống và dễ tích hợp vào quy trình pentest hoặc DevSecOps.
2. Mục đích và tính năng chính
- Tự động sinh các Google Dorks từ các “payload templates” cơ bản
- Hỗ trợ nhiều kiểu Dork (file type, url parameter, site-specific, v.v.)
- Xuất kết quả ra file TXT, CSV hoặc JSON
- Cấu hình dễ dàng qua tệp YAML/JSON
- Có thể chạy trong dòng lệnh hoặc tích hợp vào các script tự động
3. Cấu trúc thư mục
README.md– Hướng dẫn cài đặt và sử dụnggdorks.py– Script chính sinh Dorkstemplates/– Thư mục chứa các mẫu (payload templates)config.yaml– Tệp cấu hình mẫurequirements.txt– Danh sách thư viện Python cần thiếtexamples/– Ví dụ đầu ra (TXT, CSV, JSON)
4. Phân tích các thành phần chính
4.1 gdorks.py
- Đọc tệp cấu hình (
config.yaml) để lấy các tham số nhưsite,file_type,keywords. - Load các template từ thư mục
templates/(ví dụ:site_dork.tpl,file_dork.tpl). - Thay thế biến trong template bằng giá trị thực (ví dụ:
{site}→example.com). - Sinh list Dork và ghi ra định dạng theo yêu cầu:
- TXT: dòng đơn
- CSV: cột
dork,description - JSON: mảng các object
4.2 templates/
Chứa các mẫu Dork với cú pháp Jinja2-like, ví dụ:
site:{site} inurl:{keyword}
filetype:{file_type} site:{site}
4.3 config.yaml
# Mẫu cấu hình GDorks
site: "example.com"
keywords:
- "login"
- "admin"
file_types:
- "php"
- "txt"
output:
format: ["txt", "json"]
path: "./results/"
5. Bảng so sánh tham số cấu hình
| Tham số | Mô tả | Ví dụ |
|---|---|---|
site |
Tên miền hoặc host để giới hạn Dork | example.com |
keywords |
Danh sách từ khóa để chèn vào URL | ["admin", "login"] |
file_types |
Danh sách đuôi file (file extensions) | ["php", "txt"] |
output.format |
Định dạng xuất (txt, csv, json) | ["txt", "json"] |
output.path |
Thư mục lưu kết quả | ./results/ |
6. Cách sử dụng
- Cài đặt thư viện
pip install -r requirements.txt
- Chỉnh sửa
config.yamltheo nhu cầu (site, keywords, file_types) - Chạy lệnh
python3 gdorks.py --config config.yaml
- Kiểm tra kết quả trong thư mục
results/
7. Ưu điểm & Hạn chế
Ưu điểm
- Tự động hóa tạo Dork, tiết kiệm thời gian
- Cấu hình linh hoạt, hỗ trợ nhiều định dạng đầu ra
- Dễ dàng tích hợp vào pipeline CI/CD hoặc script pentest
Hạn chế
- Phụ thuộc vào chất lượng templates gốc
- Không hỗ trợ động các tham số nâng cao (rate limit, proxy)
- Cần bảo trì khi Google cập nhật cú pháp search operators
8. Hướng phát triển
- Bổ sung template cho các kỹ thuật Dork nâng cao (intext, cache)
- Hỗ trợ chạy song song (multi-threading) để sinh nhanh
- Tích hợp proxy & tùy chỉnh tốc độ để tránh bị Google block
- Kết nối trực tiếp với API của công cụ scanner để tự động quét
9. Kết luận
GDorks là công cụ hữu ích cho pentester và nhóm DevSecOps trong việc tự động tạo Google Dorks cơ bản. Với cấu trúc đơn giản, khả năng mở rộng cao, GDorks có thể đóng vai trò là bước đầu trong chuỗi kiểm thử bảo mật ứng dụng web.
Source link: Ishanoshada/GDorks
DEMO: GDorks
