Beranda
Artikel
Memulai karir sebagai bug hunter (bug bounty hunter)
Memulai karir sebagai bug hunter (bug bounty hunter)

Memulai karir sebagai bug hunter (bug bounty hunter)

Khaidir Fahram 25 Feb 2026 Note 3868749 Views

FASE 1 — FUNDAMENTAL OFFENSIVE WEB (Hari 1–30)
Tujuan: memahami cara aplikasi web “rusak”.

Fokus utama:

  • HTTP protocol secara detail (header, method, status code)

  • Session & cookie handling

  • Authentication flow (JWT, OAuth, session-based)

  • Authorization model (RBAC, ABAC)

  • OWASP Top 10

Belajar dari:

  • OWASP

  • PortSwigger (Web Security Academy)

Target teknis bulan 1:

  • Selesaikan semua lab:

    • SQL Injection

    • XSS

    • IDOR

    • Authentication

  • Install dan kuasai:

    • Burp Suite (wajib mahir intercept, repeater, intruder)

    • Nmap dasar

Deliverable akhir bulan:

  • Mampu eksploitasi SQLi manual tanpa sqlmap

  • Mampu menemukan IDOR dalam API test environment

  • Memahami bagaimana Laravel bisa rentan (mass assignment, CSRF misconfig, debug exposure)

FASE 2 — RECON & ENUMERATION (Hari 31–60)
Tujuan: belajar mencari attack surface.

Tools:

  • Subfinder

  • Amass

  • ffuf

Belajar:

  • Subdomain enumeration

  • Parameter discovery

  • Hidden endpoint fuzzing

  • Asset mapping

Latihan platform:

  • Hack The Box

  • TryHackMe

Target teknis bulan 2:

  • Bisa memetakan full subdomain target

  • Bisa menemukan endpoint tersembunyi

  • Mampu identifikasi potensi IDOR / broken access control dari API

Di fase ini mulai buat template recon workflow Anda sendiri.

 

FASE 3 — REAL BUG HUNTING (Hari 61–90)
Tujuan: mulai hunting program publik.

Daftar di:

  • HackerOne

  • Bugcrowd

Strategi:

  1. Pilih 1 program saja.

  2. Baca scope secara detail.

  3. Fokus pada:

    • IDOR

    • Access control bypass

    • Business logic flaw

    • Rate limit bypass

    • Broken multi-tenant isolation

Dengan background Programmer di Laravel & API, niche paling rasional:
→ API Authorization flaw
→ Business logic vulnerability
→ Privilege escalation

Target realistis 90 hari:

  • 1 valid report (walaupun low severity)

  • 1 near-miss (duplicate tapi valid secara teknis)

  • Workflow hunting pribadi terbentuk

 

RUTINITAS HARIAN (2–3 Jam / Hari)

Senin–Kamis:

  • 1 jam lab

  • 1 jam eksploit manual

  • 1 jam dokumentasi

Jumat:

  • Review report orang lain

  • Analisa write-up high severity

Sabtu:

  • Recon target

Minggu:

  • Deep testing 1 fitur saja

 

ERROR YANG HARUS DIHINDARI

  • Terlalu banyak tool automation

  • Ganti-ganti target

  • Fokus ke XSS saja

  • Tidak dokumentasi

 

REALITA PENTING

3 bulan pertama bisa tanpa bounty.
6 bulan baru mulai konsisten.
1 tahun baru bisa stabil.

 

Tags:MITRE ATT&CK OWASP Top 10 NIST Cybersecurity Framework
Artikel Terkait

Fix Zima VM Web Console via Cloudflare Tunnel Using NGINX Stream (Port 5700)

07 Apr 202665

Mengakses Server SSH Melalui Cloudflare Tunnel dengan Port Forwarding PostgreSQL

09 Mar 202690

Checklist teknis harian Bug Hunter untuk 90 hari pertama

25 Feb 202696

Pengantar Sistem Basis Data

15 Oct 2025616

Pengantar Cloud Computing

14 Oct 2025499
Tag Populer
Laravel 31 Android 17 Ubuntu 10 Web Apps 10 Portal Web Sekolah 7 Linux 7 VueJS 7 PHP 5 Mobile Apps 5 AWS 5
Kategori