Dapat $6755 dari bug bounty ? ini pengalaman ku

Share:
sumber gambar : Medium

Pasti kalian para pembaca sudah tau apa itu bug bounty , akan aku ceritakan sebuah pengalaman ku dalam beberapa mencari bug di hackerone dan bugcrowd. bila kalian tidak tau apa itu bug bounty , saya akan jelaskan di postingan ini.

Bug Bounty merupakan sayembara yang dibuat oleh pihak perusahaan , tujuanya para pencari bug atau celah melaporkan ke pihak perusahaan sebagai timbal baliknya kalian akan mendapatkan sebuah hadiah berupa uang atau berupa hadiah lain nya dengan syarat dan ketentuan yang telah di tetapkan.

Sebelum memulai bug bounty harus kalian baca dulu mulai lingkup hingga kategori celah yang diterima.

Contoh infomasi yang diberikan github untuk
para pencari celah / bug hunter di platform hackerone

Setelah kalian membaca semua informasi syarat dan ketentuan yang diberikan oleh perusahaan sekarang kalian dapat melakukan pencarian bug/celah di situs mereka. 

Skill apa yang dibutuhkan ? 

Untuk skill atau keahlian sebenernya yang utama itu kemauan untuk belajar hal yang baru. di dalam bug bounty kita harus memiliki skill/kemampuan mulai dari programman , analisa dan semua yang berhubungan dengan keamanan. 

Lalu kita harus memulai dari mana ?

Aku ceritakan pengalaman salah satu teman ku ya , dia memulai dari membaca write up yang tersedia di hackerone , medium , forum dan groups-groups di facebook. 


Refrensi di atas merupakan write up celah yang telah ditemukan oleh seseorang dan di publikasikan.


Bagaimana saya mendapatkan Dapat $6755 dari bug bounty ?

Saya mendapatkan $6.755 dari platform hackerone.com dan bugcrowd. dari bulan oktober 2018 hingga april 2019. saya mendapatkan hadiah tersebut dari Github dan Gojek. Rata-rata bug yang saya temukan kategori nya Logika Bisnis (Bussines Logic) ada juga beberapa seperti celah CSRF. 

Tidak semua bug yang saya temukan semua valid , ada banyak sih bug yang saya temukan ternyata cuman informative. tapi gak masalah itu adalah tahap untuk keberhasilan. .


Semua laporan di Github melalui hackerone
Semua laporan di Gojek melalui bugcrowd


Atau juga kalian bisa membaca di beberapa situs orang indonesia yang aktif bermain bug bounty seperti https://noobsec.org , https://apapedulimu.click dan https://blog.compactbyte.com

Sebelum tempur , saya selalu siapkan Alat Tempur 

Sebelum saya memulai mencari bug biasanya yang saya lakukan menyiapkan beberapa aplikasi yang saya butuhkan. 

  1. Akun Hackerone / Bugcrowd , akun ini sangat penting karena kalau tidak ada bisa membuat sebuah laporan ke pihak hackerone / bugcrownd. kalian bisa juga sih email langsung ke perusahaan namun aku sarankan untuk mengunakan Platform.
  2. Aplikasi MAIL , iya saya selalu mengunakan aplikasi mail pada windows. tujuanya untuk memantau pesan masuk pada email saya , karena saya sendiri mempunya banyak email jadi biar tidak capek , saya logikan ke aplikasi MAIL yang sudah tersedia di windows 8/10.
  3. Aplikasi Postman , fungsi utama postman ini adalah sebagai GUI API Caller. biasanya saya gunakan untuk mengirim permintaan post dan get data.
  4. Aplikasi Fiddler2 , ini alat debugging web. saya membutuhkan ini untuk memeriksa aktifitas permintaan data. biasanya saya pakai aplikasi ini jika saya ingin mengetest sebuah rest api pada aplikasi mobile.
Dari beberapa kelengkapan di atas ,  saya lebih suka fiddler karena bisa saya tambah rules https://github.com/radenvodka/PENTOL .

Refrensi : 


Kalian juga bisa membaca di write up yang saya buat di blog ini. namun rata-rata write up di blog ini tokopedia semua , hahahaha.. karena aku saya tokopedia karena tampilan nya dan strukturnya enak di baca.

Jangan lupa untuk selalu penasaran akan sesuatu , sebenernya saya juga harus banyak-banyak belajar tentang informasi bug seperti SSRF , RCE , atau XXE. mudah-mudahan dalam waktu dekat ini saya bisa mendapatkan sebuah bug kategori di atas. 

Menurut aku sendiri kategori yang sering muncul di hackerone.com atau yang banyak ditemukan itu 
  1. XSS (https://hackerone.com/reports/191810)
  2. CSRF (https://hackerone.com/reports/339352)
  3. SSRF (https://hackerone.com/reports/369451)
  4. RCE  (https://hackerone.com/reports/502758)
  5. XXE (https://hackerone.com/reports/505947)
  6. Privilege Escalation (https://hackerone.com/reports/397478)
  7. Bussines Logic (https://hackerone.com/reports/511044)

Kategori di atas mungkin bisa kalian baca-baca write up nya. jika paham jangan lupa untuk berbagi di blog masing-masing ya atau kalau tidak keberatan sharing ke aku juga. 

Saya mungkin salah satu orang yang beruntung dari sekian banyak bug hunter , aku selalu iri kepada orang-orang yang bisa menemukan bug di situs besar apa lagi sampai masuk HoF. hal itulah yang membuat aku semangat untuk selalu belajar.

Aku selalu berifikir ketika melihat di hackerone , kok bisa loh itu orang-orang dapat reward besar-besar sampai-sampai 10.000 USD ke atas. (memotifasi diri saya sendiri agar bisa mencapai itu semua ) - Eka Syahwan

Aku selalu berifikir untuk bisa mendapatkan bug di situs besar seperti google , facebook , github , yahoo dan situs besar lain nya. (memotifasi saya agar lebih giat lagi dari sebelumnya) - Eka Syahwan
----------
Kalian bisa mampir di https://linkedin.com/in/ekasyahwan untuk melihat web mana saja yang pernah aku test.


** Post ini tidak bermaksud untuk menyombongkan diri atau mencari nama, saya hanya ingin berbagi dan allhamdulilahnya bisa memotifasi para bug hunter lain nya ,  Mohon di koreksi bila ada kesalahan penyebutan kategori , karena saya pun masih dalam tahap belajar dan berkembang. dan jika ada yang di tambahkan bisa komentar di post ini. **

5 comments:

  1. Menjadi bug Hunter harus bisa bahasa pemrograman kah?

    ReplyDelete
  2. cara mereka kirim uangnya gimna ? pake VISA?

    ReplyDelete
  3. saya nemuin bug di ig , gimana cara lapornya ya

    ReplyDelete
  4. link yang dicantumkan semua laporan milik orang lain. saya sudah ikuti H1.com aq baru 3x laporan udh dpt
    3000$ dari paypal. 1000$ dari upserve. 1120 dari twitter. mending cari bug yang ngerusak Back-end aplikasi

    ReplyDelete
    Replies
    1. disini saya tidak mencantukan apa yang saya temukan , karena memang dari github tidak bisa di publikasikan. di artikel ini hanya berbagi saja mas pengalaman. dan apa yang say cantumkan di atas merupkan sebuah refrensi.

      Delete