Seperti apa yang pernah Z-nGine janjikan dalam postingan sebelumnya, kali ini Z-nGine akan memberikan tutorial seputar hacking yang berhubungan dengan Bug atau celah dalam sebuah website.
|
Pernahkah Kalian bermimpi menjadi seorang hacker yang dapat menemukan dan memperbaiki bug di situs web dan aplikasi, serta mendapatkan bayaran untuk itu? Jika jawaban Kalian ya, maka Kalian mungkin tertarik dengan Bug Bounty Hunting, sebuah profesi yang semakin populer dan dibutuhkan di era digital ini.
Apa Itu Bug Bounty Hunting?
Bug Bounty Hunting adalah bentuk hacking etis di mana Kalian mencari kerentanan di situs web dan aplikasi, kemudian melaporkannya kepada pemilik atau pengembang untuk mendapatkan imbalan. Besaran imbalan ini bervariasi tergantung pada tingkat keparahan bug, dan kadang-kadang bisa mencapai jutaan dolar. Selain menjadi cara untuk menghasilkan uang, Bug Bounty Hunting juga merupakan sarana untuk belajar, meningkatkan keterampilan, dan bersaing dengan hacker lainnya.
Langkah-Langkah Memulai Bug Bounty Hunting
Untuk memulai perjalanan Kalian sebagai Bug Bounty Hunter, ada beberapa langkah dan pengetahuan yang perlu Kalian miliki. Berdasarkan pengalaman pribadi, Z-nGine telah menyusun diagram alur yang menunjukkan langkah-langkah dan sumber daya yang perlu Kalian ikuti.
Persiapan Awal
Sebelum memulai Bug Bounty Hunting, Kalian perlu memiliki pengetahuan dasar tentang pemrograman dan teknologi web. Ini akan membantu Kalian memahami cara kerja situs web dan aplikasi, serta cara menemukan dan mengeksploitasi kelemahannya.
Belajar JavaScript
JavaScript adalah bahasa utama di web. JavaScript digunakan untuk membuat halaman web yang dinamis dan interaktif, serta menjadi sumber dari banyak kerentanan. Kalian perlu menguasai sintaks, fitur, dan konsep JavaScript. Berikut beberapa sumber daya untuk belajar JavaScript:
- 1. freeCodeCamp.org
- freeCodeCamp.org adalah organisasi nirlaba 501(c)3 yang dapat membantu Kalian belajar coding secara gratis , membangun proyek dunia nyata, dan mempersiapkan diri untuk menjadi developer
- 2. JavaScript 30
- JavaScript 30 membantu Kalian membangun sesuatu dengan kode. Banyak hal. Bangun 1.000 hal. Dengan serius. Ini juga berisi banyak tutorial dan pelajaran JavaScript gratis.
- 3. CodeMentor
- Code Mentor menawarkan kursus 4 minggu untuk mempelajari JavaScript. Ya, situs mengesankan lainnya untuk tutorial JavaScript.
- 4. Educative.io
- Kursus ini dibuat oleh Educative. Pelajari kode dan buat halaman web Kalian sendiri menggunakan HTML, CSS, dan JavaScript dalam kursus pengembangan web interaktif untuk pemula.
- 5. JavaScript.info
- Pelajari JavaScript dari dasar hingga topik lanjutan dengan penjelasan sederhana namun mendetail. Sesuai dengan namanya, tutorial website ini difokuskan pada JavaScript saja.
Memilih Bahasa Pemrograman
Kalian juga perlu belajar satu bahasa pemrograman yang dapat Kalian gunakan untuk mengotomatisasi tugas-tugas Kalian dan membuat script serta alat Kalian sendiri. Kalian bisa memilih bahasa yang Kalian nyaman gunakan dan yang memiliki dukungan baik untuk permintaan HTTP dan perpustakaan pemrosesan string. Z-nGine pribadi menggunakan Python untuk tugas-tugas cepat dan mudah, serta Go untuk tugas yang lebih kompleks dan efisien.
Memahami Regular Expression
Regular expression adalah alat yang kuat untuk mencari, mencocokkan, dan memanipulasi string. Regular expression dapat membantu Kalian mengekstrak, menyaring, dan memodifikasi data dari situs web dan aplikasi, serta membuat script dan alat Kalian lebih efektif. Kalian perlu berlatih menggunakan regular expression dalam program dan script Kalian, serta mempelajari sintaks dan pola regular expression.
Bergabung dengan Komunitas Bug Bounty
Ada banyak platform online di mana Kalian dapat menemukan dan bergabung dengan Komunitas Keamanan Bug Bounty, serta berinteraksi dengan hacker lainnya. Beberapa platform yang Z-nGine rekomendasikan adalah:
- Nahamsec Discord Channel: Server Discord yang dibuat oleh Nahamsec, seorang Pemburu Bug Bounty terkenal dan pembuat konten. Kalian bisa mengobrol dengan hacker lain, bertanya, berbagi write-up, dan berpartisipasi dalam sesi hacking langsung.
- Infosec Writeups: Publikasi di Medium di mana para hacker memposting write-up, tutorial, tips, dan cerita tentang Bug Bounty Hunting dan keamanan. Kalian bisa membaca, mengomentari, dan memberi tepuk tangan pada artikel, serta mengikuti penulis yang Kalian suka.
Memilih Program Bug Bounty
Untuk memulai Bug Bounty Hunting, Kalian perlu memilih Program Bug Bounty yang sesuai dengan level, minat, dan tujuan Kalian. Ada banyak faktor yang perlu dipertimbangkan saat memilih Program Bug Bounty, seperti cakupan, imbalan, aturan, dan responsivitas program. Kalian juga perlu mempertimbangkan keterampilan, pengetahuan, dan preferensi Kalian sendiri, serta jenis bug yang ingin Kalian temukan.
Platform Bug Bounty Populer
Salah satu cara termudah untuk memulai Bug Bounty Hunting adalah dengan bergabung dengan platform yang meng-host Program Bug Bounty dari berbagai organisasi. Beberapa platform yang paling populer adalah:
- Bugcrowd: Platform yang menghubungkan hacker dengan perusahaan yang ingin menguji keamanan mereka. Kalian bisa menemukan ratusan program dari berbagai industri, seperti teknologi, keuangan, kesehatan, dan lainnya. Kalian juga bisa mendapatkan poin, lencana, dan swag untuk pencapaian Kalian.
- HackerOne: Platform yang memberdayakan hacker untuk melindungi internet. Kalian bisa menemukan ribuan program dari berbagai sektor, seperti pemerintahan, pendidikan, permainan, dan lainnya. Kalian juga bisa belajar dari hacker lain, dan berpartisipasi dalam acara hacking langsung.
- intigriti: Platform yang memberikan imbalan kepada hacker untuk menemukan dan melaporkan kerentanan. Kalian bisa menemukan puluhan program dari berbagai domain, seperti e-commerce, media, perjalanan, dan lainnya. Kalian juga bisa bergabung dengan komunitas, dan mendapatkan akses ke konten dan peluang eksklusif.
Memulai Perburuan Bug Pertama Kalian
Jika Kalian seorang pemula dan ingin mendapatkan bug pertama Kalian, Kalian perlu memilih Program Bug Bounty yang memiliki permukaan serangan yang baik, dan banyak bug yang mudah ditemukan. Berikut beberapa contoh bug yang mudah ditemukan:
- CSRF: Cross-Site Request Forgery, kerentanan yang memungkinkan penyerang melakukan tindakan atas nama pengguna, tanpa sepengetahuan atau persetujuan mereka.
- SQL Injection: Kerentanan yang memungkinkan penyerang menjalankan kueri SQL berbahaya pada database, dan mengakses atau memanipulasi data.
- XSS: Cross-Site Scripting, kerentanan yang memungkinkan penyerang menyuntikkan dan menjalankan kode JavaScript berbahaya pada halaman web, dan mempengaruhi browser atau sesi pengguna.
- Access Token Harvesting: Kerentanan yang memungkinkan penyerang mendapatkan atau mencuri token akses dari pengguna, dan menggunakannya untuk mengakses akun atau data mereka.
Mengetahui Kapan Harus Berhenti
Terkadang, Kalian mungkin menemukan bahwa program tertentu tidak cocok untuk Kalian, atau Kalian tidak mampu menemukan bug apa pun, atau Kalian membuang-buang waktu. Kalian perlu mengetahui kapan harus berhenti dan beralih ke program lain. Beberapa alasan untuk berhenti dari program adalah:
- Selama fase pengumpulan informasi, Kalian menemukan bahwa situs web menggunakan fungsi yang sangat berbeda yang tidak Kalian kuasai, seperti API GraphQL, sementara Kalian lebih nyaman dengan API REST. Sebagai pemula, Kalian mungkin ingin mencari program lain yang memiliki API REST di dalamnya.
- Setelah mencoba selama 3-4 minggu, Kalian tidak mampu menemukan apa pun yang menarik. Ini mungkin berarti Kalian perlu belajar lebih banyak, tetapi juga bisa berarti bahwa Kalian hanya membuang-buang waktu, mengingat bahwa ada banyak program lain yang memiliki bug mudah ditemukan.
Kesimpulan
Yang paling penting adalah bersenang-senang dan menikmati proses hacking dan belajar. Jangan berkecil hati atau frustrasi jika Kalian tidak menemukan bug segera, atau jika Kalian ditolak. Ingatlah bahwa Bug Bounty Hunting adalah tentang perjalanan belajar yang terus-menerus dan tantangan yang menarik. Selamat berburu bug!