Apa itu Bug Bounty? Dan bagaimana cara mempelajarinya? - Bahasa Indonesia

Apa itu Bug Bounty? Dan bagaimana cara mempelajarinya? - Bahasa Indonesia

Bug Bounty atau BugHunter adalah seseorang yang memahami banyak ilmu dibidang cybersecurity dan cukup berpengalaman dalam menemukan kerentanan atau bug dalam suatu sistem atau aplikasi. Banyak lembaga atau platform yang menyediakan hadiah bagi siapa pun yang dapat menemukan bug dalam suatu program atau sistem mereka.

Beberapa organisasi, seperti Google yang sering mengadakan bug bounty untuk membantu mengidentifikasi dan memperbaiki bug dalam aplikasi mereka. Program ini memang diperuntukkan bagi para hacker sehingga dapat mengidentifikasi berbagai kerentanan yang ada. Hadiah bug bounty program memiliki reward yang cukup menjanjikan.

Hal pertama yang perlu dipahami bagi seorang bug Bounty/hunter adalah bagaimana cara kerja dari suatu aplikasi atau sistem dan memahami arsitektur aplikasi. Pemahaman yang kuat mengenai dasar aplikasi maupun web sangat penting, seperti dasar Network(Jaringan), komponen web seperti HTML, CSS, PHP, dan JavaScript. Pemahaman yang kuat akan meningkatkan peluang dalam menganalisis bug, meskipun tidak ahli pada semua bidang.

Selain itu, ada beberapa keterampilan yang dibutuhkan untuk menjadi bug Bounty/hunter, yaitu:

• Pengumpulan informasi
• SQL Injection (SQLi)
• Cross-Site Scripting (XSS)
• Server Side Request Forgery (SSRF)
• Local & Remote file inclusion (LFI/RFI
• Information Disclosure
• Remote Code Execution (RCE)

Salah satu metode pembelajaran yang paling efektif adalah dengan menonton tutorial gratis, seperti YouTube atau mengikuti program pelatihan.

Seorang Bug Bounty/Hunter harus terbiasa dengan beberapa komponen umum yang diperlukan.

Komponen-komponen ini termasuk:

• Peramban web, yaitu komponen yang mencakup browser web yang digunakan untuk membuat serangkaian pengujian. Google Chrome atau Firefox adalah jenis peramban yang sering digunakan. Tambahkan add-on juga menjadi pertimbangan dalam mempermudah pekerjaan.

• Proxy, yaitu komponen yang diperlukan untuk memblok semua lalu lintas antara browser dan situs web target. Beberapa fitur dalam proxy, seperti encoding/decoding juga dapat membantu menganalisis beberapa serangan.

• Virtual machine, bagian perangkat yang sangat membantu karena memiliki dua alasan. Pertama, memungkinkan untuk mengisolasi alat pengujian dari sistem operasi asli. Kedua, untuk berlatih pada beberapa aplikasi rentan yang sudah dipublikasikan secara online seperti VulnHub.

Website pelatihan : BugBountyHunter

• Mensimulasikan Opacity: Platform mensimulasikan pengalaman berburu bug yang lebih realistis di mana Anda perlu menjelajahi dan memahami setiap fitur untuk menemukan bug. Anda tidak tahu sebelumnya apakah fitur tersebut memiliki bug atau tidak (dan kerentanan seperti apa).

• Metodologi Zseano: Unduh dari https://www.bugbountyhunter.com/methodology/

Setiap bug bounty program yang adakan oleh perusahaan besar memiliki imbalan yang akan diberikan kepada bug hunter.

Seperti :

Google. Bug bounty program pada Google menawarkan pembayaran minimum $300 hingga hadiah tertinggi $31.337 untuk aplikasi Google.

Quora. Bug bounty program pada Quora menawarkan pembayaran minimum $100 hingga $7000 apabila menemukan dan melaporkan bug dalam aplikasi mereka.

Mozilla. Bug bounty program pada Mozilla menawarkan pembayaran $500 hingga $5000 untuk menemukan bug di layanan mozilla, seperti Firefox, Thunderbird, dan aplikasi serta layanan lainnya.

Microsoft. Bug bounty program pada Microsoft menawarkan pembayaran sebesar $15.000 hingga $250.000 untuk menemukan bug kritis.

Twitter. Bug bounty program pada Twitter menawarkan program yang dimulai dari $140 hingga $15000.

Semoga bermanfaat
Terimakasih.