Beranda
Artikel
Checklist teknis harian Bug Hunter untuk 90 hari pertama
Checklist teknis harian Bug Hunter untuk 90 hari pertama

Checklist teknis harian Bug Hunter untuk 90 hari pertama

Khaidir Fahram 25 Feb 2026 Note 98 Views

BULAN 1 — CORE EXPLOIT SKILL (Hari 1–30)

Target akhir: mampu eksploit SQLi, XSS, IDOR tanpa automation penuh.

Senin–Kamis (2–3 jam/hari)

  1. 20 menit — HTTP Deep Understanding

    • Analisa 1 request di Burp Suite

    • Ubah header (Origin, Referer, Cookie, Authorization)

    • Manipulasi method (GET → POST → PUT)

  2. 60 menit — Lab Practice
    Dari PortSwigger Web Security Academy:

    • Minggu 1: SQL Injection

    • Minggu 2: XSS

    • Minggu 3: Authentication flaw

    • Minggu 4: Access control / IDOR

  3. 30 menit — Manual Variation
    Ulangi exploit dengan:

    • Encoding berbeda

    • Bypass filter sederhana

    • Payload modifikasi

  4. 20 menit — Catatan Teknis
    Buat log:

    • Vulnerability type

    • Root cause

    • Exploit path

    • Mitigation

Sabtu

  • Install dan konfigurasi:

    • Nmap

  • Scan lab VM atau target latihan

  • Analisa open port dan service version

Minggu

  • Review 3 write-up valid di HackerOne

 

BULAN 2 — RECON & ATTACK SURFACE (Hari 31–60)

Target akhir: mampu memetakan attack surface lengkap.

Senin–Kamis

  1. 30 menit — Subdomain Enumeration
    Gunakan:

    • Subfinder

    • Amass

    Catat:

    • dev.

    • staging.

    • api.

    • admin.

  2. 45 menit — Endpoint Discovery
    Gunakan:

    • ffuf

    Fuzz:

    • /api/v1/

    • /internal/

    • /admin/

  3. 45 menit — Authorization Testing

    • Login sebagai user A

    • Ambil token

    • Akses resource user B

    • Ubah object ID

    • Uji horizontal & vertical privilege escalation

Sabtu

  • Mapping diagram attack surface (gambar sendiri)

Minggu

  • Latihan di:

    • Hack The Box

    • TryHackMe

 

BULAN 3 — REAL HUNTING EXECUTION (Hari 61–90)

Target akhir: kirim minimal 1 report valid.

Senin

  • Baca scope program di Bugcrowd atau HackerOne

Selasa–Kamis

Workflow hunting:

  1. Recon (subdomain + endpoint)

  2. Login flow analysis

  3. Role testing

  4. Parameter tampering

  5. Business logic abuse

Checklist setiap fitur:

□ Apakah object ID bisa diubah?
□ Apakah rate limit bisa dilewati?
□ Apakah role check hanya di frontend?
□ Apakah ada debug endpoint?
□ Apakah API return terlalu banyak data?

Sabtu

  • Dokumentasi laporan draft

Minggu

  • Refine PoC

  • Hitung impact realistis

 

METRIK KEMAJUAN YANG HARUS ANDA TRACK

Setiap minggu ukur:

  • Jumlah endpoint dianalisa

  • Jumlah parameter diuji

  • Jumlah authorization test dilakukan

  • Jumlah near-miss bug ditemukan

Jika dalam 30 hari Anda belum menemukan vulnerability di lab, berarti eksplorasi kurang dalam.

 

PRIORITAS dengan Laravel dan API:

Fokus pada:

  • IDOR di route model binding

  • Mass assignment

  • Policy bypass

  • Debug mode exposure

  • Multi-tenant data leakage

 

Artikel Terkait

Fix Zima VM Web Console via Cloudflare Tunnel Using NGINX Stream (Port 5700)

07 Apr 202666

Mengakses Server SSH Melalui Cloudflare Tunnel dengan Port Forwarding PostgreSQL

09 Mar 202690

Memulai karir sebagai bug hunter (bug bounty hunter)

25 Feb 20263868750

Pengantar Sistem Basis Data

15 Oct 2025616

Pengantar Cloud Computing

14 Oct 2025499
Tag Populer
Laravel 31 Android 17 Ubuntu 10 Web Apps 10 Portal Web Sekolah 7 Linux 7 VueJS 7 PHP 5 Mobile Apps 5 AWS 5
Kategori