LEARNING THE BUG BOUNTY PROGRAM

6 months ago 32
BOOK THIS SPACE FOR AD
ARTICLE AD

Ramadhani Basith Razaky

Bug Bounty adalah program di mana suatu perusahaan membayar peretas untuk mengungkap rincian kerentanan yang mereka temukan, untuk memperbaiki masalah dan meningkatkan sistem keamanan perusahaan tersebut.

Sebagian besar bug bounty membayar sejumlah imbalan uang tunai. Salah satu elemen penting untuk dipahami adalah agar bug hunter menjadi legal, perusahaan harus memiliki program bug bounty yang ditetapkan, dan aktivitas perburuan harus sesuai dengan program tersebut. Mengakses suatu sistem dan mengeksploitasi kerentanan pada jaringan orang atau perusahaan lain tanpa izin adalah kejahatan, dan program bug bounty dapat memberikan izin tersebut jika diikuti dengan benar.

Untuk beginner yang baru terjun dalam bidang Cybersecurity perlu belajar yang namanya CTF (Capture The Flag), karena CTF juga merupakan dasar pembelajaran untuk simulasi serangan-serangan yang nantinya dapat diterapkan saat mengikuti program Bug Bounty.

Linux telah menjadi salah satu sistem operasi yang populer di dunia Cybersecurity dan banyak digunakan untuk keperluan Bug Bounty. Pengetahuan yang mendalam tentang Linux sangat penting bagi para bug bounty untuk menemukan dan mengeksploitasi kerentanan dalam sebuah perusahaan.

Fundamental Linux

Navigasi dan Manajemen File: Menguasai perintah dasar terminal Linux seperti cd, ls, mkdir, rmdir, cp, mv, dan rm untuk menjelajahi sistem file, mengelola file dan direktori, dan melakukan operasi dasar lainnya.

Perizinan dan Keamanan File: Pahami konsep perizinan file dan direktori di Linux, termasuk chmod dan chown, untuk membatasi akses dan melindungi sistem dari intrusi.

Pengguna dan Grup: Pelajari cara mengelola pengguna dan grup di Linux, termasuk menambahkan, menghapus, dan memodifikasi hak akses, untuk menjaga keamanan sistem dan memisahkan hak istimewa.

Proses dan Manajemen Sistem: Pahami konsep proses dan manajemen sistem di Linux, termasuk penggunaan perintah seperti ps, top, dan kill, untuk memantau dan mengelola proses yang berjalan.

Scriping dan Otomatisasi: Pelajari bahasa scripting seperti Bash untuk mengotomatisasi tugas berulang dan meningkatkan efisiensi dalam proses bug bounty.

Linux untuk Bug Bounty

Analisis Kerentanan: Kuasai alat dan teknik analisis kerentanan seperti nmap, Nessus, dan Nikto untuk mengidentifikasi potensi kelemahan dalam sistem target.

Eksploitasi Kerentanan: Pelajari cara mengeksploitasi berbagai jenis kerentanan, seperti injeksi SQL, cross-site scripting (XSS), dan buffer overflow, untuk mendapatkan akses yang tidak sah ke sistem.

Penguatan Sistem: Pahami teknik penguatan sistem untuk meminimalkan risiko kerentanan dan meningkatkan postur keamanan keseluruhan.

Dokumentasi dan Pelaporan: Pelajari cara mendokumentasikan temuan bug secara jelas dan ringkas, termasuk langkah-langkah reproduksi dan dampak potensial, untuk meningkatkan peluang mendapatkan hadiah.

Programming merupakan keahlian yang sangat diperlukan dalam hal yang berkaitan dengan dunia IT (information Technology), salah satunya juga pada bidang IT yaitu Cybersecurity. Dalam hal menyerang maupun bertahan di lingkup digital yang berisikan kode-kode program, kita perlu mempelajari basic maupun lebih mendalami lagi ilmu programming agar dapat melakukan suatu pekerjaan dengan baik.

Fundamental Programming

Konsep Dasar: Memahami konsep dasar pemrograman seperti variabel, tipe data, operator, struktur kontrol, dan function.

Bahasa Pemrograman: Menguasai minimal satu bahasa pemrograman seperti Python, JavaScript, atau C++. Umumnya sekarang banyak sekali penggunaan bahasa Python dalam dunia Cybersecurity.

Algoritma dan Struktur Data: Memahami algoritma dasar dan struktur data seperti array, linked lists, dan trees.

Debugging dan Pemecahan Masalah: Memiliki kemampuan untuk men-debug kode dan problem solving pemrograman.

Programming Dalam Bug Bounty

Pemahaman Web Application Security: Memiliki pemahaman tentang konsep keamanan aplikasi web seperti XSS, CSRF, SQL Injection, dan Authentication & Authorization.

Scripting dan Automation: Mampu menggunakan scripting language seperti Python atau Bash untuk mengotomatisasi tugas-tugas bug bounty seperti crawling, fuzzing, dan reporting.

Reverse Engineering: Memiliki kemampuan untuk melakukan reverse engineering kode aplikasi untuk menemukan kerentanan.

Exploitation: Mampu mengeksploitasi kerentanan yang ditemukan untuk mendapatkan akses ke sistem target.

Networking merupakan salah satu ilmu fundamental yang harus dipelajari ketika kita memasuki dunia digital/IT. Karena semua data digital dapat saling bertransaksi mengirim ataupun menerima data karena terhubung dalam suatu jaringan. Pengetahuan tentang networking juga sangat penting bagi para bug hunter dalam program bug bounty. Dengan memahami konsep jaringan dan protokol jaringan, kita dapat lebih mudah mengidentifikasi dan mengeksploitasi kerentanan keamanan dalam aplikasi web dan sistem.

Konsep Dasar Networking

OSI Layer Model: Model OSI (Open Systems Interconnection) adalah framework tujuh lapis yang mendasari komunikasi jaringan. Setiap lapisan memiliki fungsi dan protokolnya sendiri-sendiri.

TCP/IP: TCP/IP (Transmission Control Protocol/Internet Protocol) adalah suite protokol yang paling umum digunakan di internet. TCP bertanggung jawab untuk pengiriman data yang andal, sedangkan IP menangani pengalamatan dan routing.

Port: Port adalah titik masuk logis pada perangkat jaringan yang digunakan untuk komunikasi. Setiap layanan memiliki port berbeda-beda yang ditetapkan.

DNS: DNS (Domain Name System) adalah sistem yang menerjemahkan nama domain yang mudah diingat (URL) menjadi alamat IP numerik yang diperlukan untuk komunikasi internet.

Topologi Jaringan

LAN: LAN (Local Area Network) adalah jaringan komputer yang menghubungkan perangkat dalam area terbatas, seperti rumah atau kantor.

WAN: WAN (Wide Area Network) adalah jaringan komputer yang menghubungkan perangkat di lokasi yang berbeda secara geografis.

VPN: VPN (Virtual Private Network) adalah jaringan terenkripsi yang memungkinkan pengguna untuk terhubung ke jaringan pribadi dengan aman melalui internet publik.

Network Attack

Scanning: Scanning adalah proses mengidentifikasi perangkat dan layanan yang aktif pada suatu jaringan.

Enumeration: Enumeration adalah proses mengumpulkan informasi lebih lanjut tentang perangkat dan layanan yang rentan.

Exploitation: Exploitation adalah proses memanfaatkan kerentanan untuk mendapatkan akses yang tidak sah ke sistem.

Pentingnya Pengetahuan Networking dalam Bug Bounty

Memahami arsitektur jaringan: Pengetahuan networking dasar membantu bug hunter memahami bagaimana aplikasi web dan sistem terhubung dan berkomunikasi dengan jaringan.

Mengidentifikasi kerentanan: Pengetahuan tentang protokol dan layanan jaringan dapat membantu bug hunter mengidentifikasi potensi kerentanan, seperti miskonfigurasi layanan atau kelemahan protokol.

Mengeksploitasi kerentanan: Pengetahuan tentang cara kerja jaringan dapat membantu bug hunter mengeksploitasi kerentanan dengan lebih efektif.

Read Entire Article