Bug bounty bukan sekadar mencari bug demi hadiah. Ini cara belajar langsung dari sistem nyata, membantu organisasi jadi lebih aman, dan membangun reputasi profesional di dunia keamanan siber. Artikel ini membahas recon detail, cara membuat PoC aman, teknik chaining, laporan yang cepat diterima, dan strategi reputasi.

Dasar dan Pola Pikir

Apa yang Perlu Dikuasai

Pahami hal-hal berikut sebelum memulai:

  • Dasar HTTP, cookie, session, dan header.
  • TLS dan autentikasi.
  • JavaScript dasar dan konsep SPA.
  • ORM, query SQL, dan sanitasi input.
  • OWASP Top 10 sebagai peta risiko utama.

Cara Berpikir Hunter

Setiap langkah punya input, proses, dan output:

  • Input: target dan scope.
  • Proses: recon → uji → validasi → dokumentasi.
  • Output: laporan etis yang bisa diverifikasi.

Prinsip umum:

  • Selalu mulai dari langkah pasif.
  • Catat sumber temuan dan waktu.
  • Hindari scan agresif.
  • Otomatiskan tugas berulang tapi tetap review manual.

Recon & Mapping

Tujuan: pahami seluruh attack surface dengan aman dan efisien.

Alur Umum

  1. Kumpulkan domain utama.
  2. Recon pasif dari crt.sh, GitHub, Wayback.
  3. Cari subdomain via amass, subfinder.
  4. Tes hidup pakai httprobe.
  5. Ambil endpoint lewat waybackurls dan crawl file JS.
  6. Analisis parameter dan input.
  7. Prioritaskan target penting.

Contoh Perintah Aman

amass enum -d target.example.com -o amass.txt
subfinder -d target.example.com -o subfinder.txt
cat amass.txt subfinder.txt | sort -u > hosts.txt
cat hosts.txt | httprobe -c 50 > live.txt
waybackurls target.example.com | tee wayback.txt

Gunakan -T3 di nmap untuk menjaga performa dan etika.

Hal yang Dicari

  • Subdomain dari Certificate Transparency.
  • Endpoint lama dari Wayback.
  • API tersembunyi di file JS.
  • File .env atau konfigurasi terbuka.
  • Header HTTP dan TLS untuk identifikasi teknologi.

Output

Simpan hasil dalam format JSON atau CSV. Contoh:

{
  "host": "api.target.com",
  "endpoints": [{"path": "/v1/users", "method": "GET"}],
  "priority": 8.5
}

Eksploitasi & PoC Aman

Prinsip Utama

  1. Gunakan akun uji.
  2. Jangan ubah data produksi.
  3. Hilangkan informasi sensitif dari bukti.
  4. Beri timestamp di setiap bukti.

Format PoC yang Jelas

Request:
curl -i -H "Authorization: Bearer <TOKEN>" "https://target.com/api?id=123"
Response:
HTTP/1.1 200 OK
{ "id":123, "email":"[REDACTED]" }
Screenshot: poc_20251012.png
Impact: Data pengguna lain bisa diakses tanpa otorisasi.

Teknik Chaining (Gabung Temuan Kecil)

Contoh: XSS kecil + CORS permisif + cookie admin = akses data sensitif. Jelaskan rantainya secara konseptual, bukan dengan eksploit penuh.

Debugging Cepat

Gunakan Burp Repeater untuk test payload ringan, lihat log server untuk 4xx/5xx, dan cocokkan correlation ID. Hanya analisis; jangan brute force.

Laporan yang Diterima Cepat

Tujuan laporan: membuat tim triage bisa verifikasi tanpa tanya ulang.

Struktur Ideal

  1. Judul singkat dan jelas.
  2. Severity + CVSS.
  3. Dampak bisnis dalam satu kalimat.
  4. Detail teknis & langkah reproduksi.
  5. Bukti (screenshot, raw request).
  6. Analisis penyebab.
  7. Mitigasi praktis.

Contoh Ringkas:

Judul: IDOR di GET /api/invoice
Severity: High (CVSS 7.5)
Impact: Data billing pengguna lain terlihat.
Langkah: curl -i -b session=abc /api/invoice?id=102
Mitigasi: Validasi ownership di server.

Mitigasi yang Bisa Langsung Diterapkan

  • IDOR: validasi user di server.
  • XSS: output encoding + CSP.
  • SSRF: whitelist outbound + block metadata.
  • SQLi: gunakan prepared statement.
  • Auth: HttpOnly cookie + SameSite + rotasi token.

Reputasi & Karier

  • Laporan sedikit tapi berkualitas > spam bug kecil.
  • Respons cepat pada triage menaikkan skor reputasi.
  • Catat waktu respons dan acceptance rate.
  • Gabung program privat untuk peluang reward besar.

Rencana Belajar 1 Tahun

  • 0–3 bulan: OWASP Top 10recon dasar,
  • Burp 3–6 bulan: laporan pro, CVSS,
  • triage 6–12 bulan: chaining lanjut, Web3 optional, portofolio Medium.

Checklist Sebelum Submit

Gunakan daftar ini sebelum mengirim laporan agar tidak ada poin penting yang terlewat:

  • [ ] Target berada dalam scope resmi program.
  • [ ] PoC reproducible ≤ 3 langkah dan non-destruktif.
  • [ ] Bukti (screenshot, raw HTTP) sudah jelas dan diberi timestamp.
  • [ ] Tidak ada data sensitif (PII, kredensial) dalam bukti.
  • [ ] Dampak dijelaskan secara non-teknis dan mudah dipahami.
  • [ ] Severity sudah diberi alasan atau skor CVSS.
  • [ ] Saran mitigasi disertakan dan bisa dijalankan tim developer.
  • [ ] Format laporan sesuai panduan platform (HackerOne, Bugcrowd, dll).
  • [ ] Bahasa laporan rapi, profesional, dan tidak mengandung eksploit berbahaya.

Bug bounty adalah proses belajar seumur hidup. Fokus pada etika, kualitas laporan, dan komunikasi baik. Dari situ datang reputasi, undangan program privat, dan kesempatan karier lebih luas.

Ikuti Handev Code di Medium untuk tulisan seputar keamanan siber, ethical hacking, dan bug bounty.

Etika, Legal, dan Disclosure Policy

  • Hanya uji asset in-scope.
  • Hindari DoS, brute force, mass scraping, dan data exfiltration.
  • Ikuti kebijakan responsible disclosure tiap program.
  • Jika menemukan PII/kredensial: hentikan eksplorasi, laporkan secara privat, dan redact bukti.
  • Simpan audit trail: waktu uji, IP, user agent, dan bukti PoC.

Contoh teks disclosure:

"Kerentanan diuji pada asset in-scope tanpa mengubah data produksi. Bukti disanitasi. Saya siap bantu verifikasi patch."

Panduan Memilih Platform

HackerOne: program enterprise, ekosistem besar. Bugcrowd: managed triage, banyak program privat. Intigriti: fokus Eropa, UI modern. Immunefi: Web3/smart contract bounty. Saran awal: pilih satu platform dulu, bangun reputasi, baru melebar.

Template Laporan (Versi Panjang)

Judul: [Tipe] di [host] — [ringkasan 1 baris]
Severity: [Low/Med/High/Critical] (CVSS v3.1: [vector])
One-line impact: [Dampak bisnis ringkas]
Lingkungan:
- URL/Endpoint: [https://...]
- Waktu (UTC): [YYYY-MM-DD HH:MM:SS]
- Akun/Peran: [user low-priv]
- User agent/IP (opsional)
Langkah Reproduksi:
1) ...
2) ...
3) ...
Bukti:
- Raw request/response (sanitized)
- Screenshot/HAR
Analisis Akar Masalah:
- [misconfig/validasi/logic flaw]
Mitigasi (prioritas → langkah teknis):
1) ...
2) ...
3) ...
Catatan:
- Tidak ada data sensitif dipublikasikan.
- Siap membantu verifikasi patch.

Kesalahan Umum & Perbaikan Cepat

  • PoC tidak reproducible → tulis ulang jadi ≤3 langkah, sertakan raw HTTP.
  • Laporan terlalu teknis tanpa konteks bisnis → tambah one-line impact.
  • Spam temuan minor → fokus ke celah berdampak dan chaining.
  • Tidak menyarankan mitigasi → beri langkah teknis yang bisa dieksekusi.

FAQ

Q: Perlu sertifikasi? A: Tidak wajib. Portofolio laporan diterima lebih kuat dari sertifikat.

Q: Boleh pakai scanner otomatis? A: Boleh jika program mengizinkan. Tetap utamakan analisis manual.

Q: Bagaimana jika vendor minta detail tambahan? A: Balas cepat dengan bukti tersanitasi dan ulangi PoC sesuai permintaan.

Glosarium

IDOR: akses objek tanpa verifikasi kepemilikan di server.

SSRF: server melakukan request ke lokasi yang dikontrol penyerang.

CSP: kebijakan keamanan konten untuk meredam XSS.

CVSS: skoring standar keparahan kerentanan.

Sumber

  • OWASP Top 10
  • Dokumentasi resmi platform (HackerOne, Bugcrowd, Intigriti, Immunefi)
  • Blog teknis pentest dan write-up bug bounty