Alasan ingin belajar pada Bug Bounty IDN Bootcamp

Bug bounty sendiri adalah program mencari bug yang diadakan oleh perusahaan, dan jika berhasil menemukannya maka akan diberikan insentif dan metodologi yang dilakukan secara konsep, tidak jauh berbeda dengan CTF maupun Boot2Root (dalam kasus Boot2Root adalah bug pada sistem dengan celah keamanan yang fatal seperti Log4j).

Saya pribadi belum memiliki pengalaman dalam bug bounty, walau begitu Saya memiliki beberapa pengalaman dalam melakukan CTF seperti PicoCTF, vsCTF hingga Boot2Root pada Vulnhub. Saya memiliki rasa ingin terus mencoba hal baru dan menerapkan ilmu yang sudah saya pelajari terutama dalam Bug Bounty IDN Bootcamp ini.

Network yang terdapat pada bug bounty khusunya pada web apps adalah beberapa protokol, seperti HTTP pada Port 80 dan HTTPS pada Port 443. Beberapa hal yang perlu diperhatikan pada traffic analysis misalnya dengan sebuah tools bernama WireShark untuk menganalisis PCAP.

Linux diperlukan dalam melakukan analisis karena banyak sekali tools dan server yang menggunakan Linux maka penting sekali untuk mempelajari ini karena beberapa tools yang dibutuhkan seperti BurpSuite, Nikto & Nmap lebih nyaman digunakan di Linux.

Selain dari tools, diperlukan juga untuk memahami command dari shell Linux (Bash) seperti cat untuk melihat konten file maupun grep untuk mencari teks maupun file.

Web apps yang berjalan pada Linux memiliki struktur yang berbeda dengan Windows karena selain dari library yang digunakan tetapi juga struktur file yang terdapat didalamnya (/var/www/ untuk direktori website).

Linux bisa dijalankan langsung sebagai host (bare metal) maupun dual boot (Windows dan Linux dalam satu komputer tetapi tidak boot dalam waktu bersamaan)

Linux juga bisa dijalankan pada Windows dengan Virtualisasi melalui Virtualbox, VMware, maupun WSL (Windows Subsystem for Linux) atau bahkan menggunakan Docker untuk sarana latihan maupun uji coba dan ini memiliki keunggulan karena memungkinkan menjalankan Windows dan Linux berjalan secara bersama-sama dan secara aman walau memakan lebih banyak resource.

Programing yang paling basic dan harus dimiliki adalah pengetahuan dalam HTML, JavaScript, SQL. Hal tersebut dikarenakan web apps berjalan menggunakan setidaknya ketiganya (selain dari CSS) dan beberapa web terutama di Indonesia sendiri banyak website yang menggunakan PHP, sehingga kita perlu mengetahui cara melakukan testing setidaknya pada JavaScript, SQL dan PHP.

Pembuatan website sendiri memiliki beberapa cara seperti menggunakan Wordpress maupun Framework populer seperti Bootstrap, Laravel & Ruby on rails dengan masing-masing memiliki intrinsik yang berbeda dan tentunya merupakan faktor yang harus diperhatikan dalam Bug Bounty.