Bug Bounty Writeup Unauthorized Access to Admin Panel & SQL Injection

Pendahuluan

Di era digital seperti sekarang, hampir setiap perusahaan memiliki sistem online yang terus berkembang — mulai dari aplikasi web, API, hingga infrastruktur cloud. Namun, perkembangan ini juga membuka potensi munculnya celah keamanan (vulnerability) yang bisa dimanfaatkan oleh pihak tidak bertanggung jawab. Untuk menghadapinya, banyak perusahaan besar seperti Google, Facebook, dan Apple membuka program Bug bounty, yaitu program pemberian imbalan seperti uang bagi siapa pun yang berhasil menemukan dan melaporkan celah keamanan secara etis (bukan bantuan orang dalam lalu mengambil uangnya:D)

Bug bounty bukan hanya menjadi jalan untuk membantu meningkatkan keamanan siber, tapi juga membuka peluang bagi siapa saja — bahkan tanpa latar belakang formal di bidang IT — untuk belajar, berkembang, dan mendapatkan penghasilan. Dalam artikel ini, kita akan membahas dasar-dasar bug bounty, cara memulainya, teknik yang umum digunakan, serta bagaimana proses pelaporan dan mendapatkan imbalan dari celah yang ditemukan.

Jika kamu penasaran bagaimana cara menjadi bug bounty hunter, atau sedang mencari jalan alternatif untuk belajar cybersecurity secara praktis, artikel ini cocok untuk kamu yang ingin belajar.

Disclaimer

Artikel ini hanya untuk pemula seperti saya yang ingin tau dan belajar tentang Bug bounty. Saya hanya membagikan pengalaman dan ilmu yang saya miliki.

QnA Seputar Bug Bounty

Apa itu bug bounty?

Bug bounty adalah program yang disediakan oleh perusahaan atau platform tertentu untuk memberikan imbalan kepada individu yang berhasil menemukan dan melaporkan celah keamanan (bug) secara etis.

Apakah ini ilegal?

Tidak. Selama kamu mengikuti scope dan aturan (rules of engagement) dari program bug bounty yang bersangkutan, maka aktivitas ini sepenuhnya legal. Yang penting: kamu hanya menguji apa yang diizinkan, dan tidak menyalahgunakan bug yang ditemukan.

Apakah saya harus jago coding?

Tidak harus, tapi pemahaman dasar tentang HTML, HTTP, JavaScript, dan SQL akan sangat membantu menjadi nilai plus. Banyak bug ditemukan lewat pemahaman logika alur aplikasi, bukan hanya dari menulis exploit canggih.

Apa saya bisa mulai tanpa background IT?

Bisa banget. Banyak bug hunter sukses berasal dari latar belakang non-teknis, tapi mau belajar secara konsisten. Dunia bug bounty sangat terbuka bagi siapa pun. Misalnya saya hanya lulusan SMP :D

Bagaimana cara saya mendapatkan uang dari bug bounty?

Setelah kamu menemukan dan melaporkan bug melalui platform seperti HackerOne, Bugcrowd, atau langsung ke program private, mereka akan menilai validitasnya. Jika diterima, kamu akan mendapatkan imbalan (reward) sesuai tingkat keparahan bug. Namun tidak semua perusahaan memberikan reward berupa uang. 

Apa platform terbaik untuk pemula?

Untuk permula seperti saya, biasanya hanya mencari Program secara random yang di cari di penulusuran Google, dan bukan di program yang ada di Platform. Namun anda bisa mencoba nya di beberpa Platform di bawah.

1. Hackerone https://hackerone.com
2. Intigriti https://intigriti.com
3. Bugcrowd https://bugcrowd.com
4. YesWeHack https://yeswehack.com

Bang, ada ga platform buat perusahaan yang di indo? Ada, namun hanya beberapa perusahaan saja yang terdaftar, kalian bisa cek di Redstorm https://www.redstorm.io. Sebenarnya di hackerone dan lainnya pun ada perusahaan indo namun kebanyakan private program.

QnA tambahan:

Bang, Bisa lacak orang ga?

ga

Bang, bisa hack atau kembaliin akun sosmed?

ga

Bang, bisa bobol bank?

ga

Bang, bisa bobol situs ju*dol biar menang?

GA

 

Saya disini hanya pencari bug atau biasa di sebut Bug Hunter. Melakukan seperti pembobolan atau mencuri uang misalnya di situs bank, itu sangat tidak mudah. Dan yang pastinya itu tindakan ilegal. Saya hanya ingin sedikit bercerita, di kampung saya ada sebagian orang yang tidak paham tentang pekerjaan saya yaitu Bug hunter. Dan mungkin mereka menganggap saya adalah pembobol bank atau mencuri uang dari rekening orang luar atau dalam negeri bisa di sebut Carding. Dan sebab itulah saya menulis artikel ini, agar jika mereka membaca ini, mereka bisa paham apa itu Bug bounty.

Macam-Macam Bug dan Dampaknya

Pada bagian ini, kamu bisa membahas jenis-jenis bug yang sering ditemukan dalam program bug bounty, lengkap dengan contoh dan potensi dampaknya. Namun saya hanya menuliskan beberapa saja, sebenarnya masih ada banyak yang lainnya.

XSS (Cross-Site Scripting)

Bug yang memungkinkan penyerang menyisipkan skrip ke dalam halaman web.

Dampak: Bisa mencuri cookie/session, redirect ke situs jahat, dan masih banyak lainnya.

SQL Injection (SQLi)

Teknik menyisipkan perintah SQL melalui input pengguna.

Dampak: Akses ke database tanpa otorisasi, dump data sensitif seperti email,password, bahkan RCE.

IDOR (Insecure Direct Object Reference)

Akses langsung ke data milik user lain dengan mengubah ID atau lainnya.

Dampak: Akses data sensitif milik user lain, termasuk file, transaksi, profil.

RCE (Remote Code Execution)

Bug paling kritikal: memungkinkan eksekusi perintah pada server.

Dampak: Ambil alih server, backdoor, dump database.

Open Redirect

Memungkinkan redirect user ke situs lain tanpa validasi.

Dampak: Digunakan untuk phishing, token hijack, dan lainnya.

Belajar Bug Bounty: Mulai dari Mana?

Banyak yang tertarik terjun ke dunia bug bounty karena imbalannya yang menarik, tantangannya yang seru, dan kesempatan nyata untuk belajar langsung dari sistem nyata. Tapi pertanyaan paling umum adalah: “Saya pemula, harus mulai dari mana?” Kalau kamu bertanya hal yang sama, artikel ini akan membimbingmu tahap demi tahap.

• Pahami Dulu: Apa Itu Bug Bounty
• Kenali Nama-Nama Bug Umum, yang saya tuliskan di atas
• Fokus dulu untuk mempelajari 1 Bug, misalnya XSS atau SQLi
• Praktik di web latihan seperti http://testphp.vulnweb.com
• Mulai Hunting di Program Nyata

Dan Pelajari Dasar Web & HTTP Untuk bisa memahami bug, kamu perlu tahu cara kerja dasar web:

• Cara kerja HTTP request/response
• Fungsi dan risiko cookies, headers, session
• Apa itu form, input, parameter URL

Cara Menulis Laporan Bug Bounty: Contoh Kasus XSS

Satu hal penting dalam dunia bug bounty bukan hanya menemukan bug, tapi juga bagaimana kamu melaporkannya dengan jelas dan profesional. Banyak hunter pemula gagal mendapatkan reward karena laporan mereka tidak lengkap atau tidak bisa direproduksi oleh tim keamanan dari perusahaan tersebut.

Struktur Ideal Laporan Bug Bounty

1. Judul Temuan Bug Kalian
2. Ringkasan Bug
3. URL Target / Endpoint
4. Langkah Reproduksi (Step-by-Step)
5. Payload / Bukti Eksploitasi
6. Dampak Bug
7. Rekomendasi Perbaikan (tidak wajib)
8. Lampiran Bukti (Screenshot / Video)

Contoh Laporan Bug XSS

Judul: Reflected Cross Site Scripting (XSS) di parameter `id`

Ringkasan:
Reflected Cross Site Scripting (XSS) di titik akhir https://website.com/en/artikel-detail?id=[Payload]

Langkah-langkah:
1. Pergi ke halaman artikel
2. Pada parameter `id` masukan payload berikut "><script>alert('document.cookie')</script>
3. etc

Dampak:
Penyerang dapat mengeksekusi kode javascript dan xxx

Rekomendasi perbaikan:
jika ingin di isi silahkan, tidak juga gapapa

Screenshot:
[lampirkan screenshot an dari alert bug tersebut]

Terima kasih.

Apa yang Terjadi Setelah Kamu Mengirim Laporan Bug Bounty?

Setelah kamu berhasil menemukan celah keamanan dan mengirimkan laporan ke program bug bounty (BBP), kamu mungkin bertanya-tanya: "Lalu apa yang terjadi selanjutnya? Apakah saya langsung dapat reward?"

Jawabannya: tidak selalu langsung. Berikut ini penjelasan lengkap tentang alur setelah kamu submit laporan dan berapa lama biasanya kamu harus menunggu.

Laporan Masuk ke Antrian Review

Setelah kamu mengirim laporan, sistem BBP seperti HackerOne, Bugcrowd, atau Intigriti akan memberi status awal: "Submitted", "New", atau "Triaging"

Tim keamanan dari program tersebut akan mulai memverifikasi validitas bug:

 

• Apakah benar bug-nya valid?
• Apakah bisa direproduksi?
• Apakah bug tersebut bukan duplikat?
• Apakah masuk dalam in-scope?

Estimasi waktu: biasanya antara 1 sampai 14 hari kerja, tergantung kebijakan masing-masing program.

Proses Triaging

Proses ini disebut triage, artinya tim keamanan akan:

 

• Mencoba menjalankan langkah-langkah dari laporanmu
• Mengecek apakah payload dan bukti yang kamu kirim bisa direplikasi
• Menilai tingkat keparahan (severity)

Jika bug berhasil direproduksi, status berubah jadi:
"Triaged" atau "Accepted"

Jika tidak valid, akan diberi status:

"Informative", "Not Applicable", "Duplicate", atau "Out of scope"

Penilaian Reward (Jika Valid)

Jika bug dinyatakan valid dan belum pernah dilaporkan sebelumnya:

Tim akan menentukan reward berdasarkan severity dan dampak. Kamu akan mendapatkan nominal sesuai kebijakan program (misalnya \$100 untuk low, \$500 untuk medium, \$1000+ untuk high/critical). Beberapa program membayar langsung setelah triage, tapi ada juga yang butuh waktu hingga 7 hari, 30 hari atau lebih.

Tips Saat Menunggu

Jangan spam atau terus-terusan menanyakan status laporan.
Baca SLA (Service Level Agreement) program tersebut — biasanya mereka mencantumkan waktu maksimal respon. Simpan bukti waktu pengiriman untuk arsip pribadi. Jika setelah waktu yang ditentukan tidak ada respon, boleh follow up secara sopan.

Penutup

Dunia bug bounty bukan hanya soal uang. Ia adalah jalan pembelajaran langsung dari sistem nyata, sekaligus bentuk kontribusi nyata untuk membuat internet lebih aman. Dari memahami nama-nama bug seperti XSS, IDOR, hingga SQLi, belajar dasar web dan HTTP, berlatih di lab simulasi, lalu menulis laporan yang profesional — semua itu adalah proses yang akan mengasah skill dan membentuk pola pikir seorang ethical hacker. Dan ingat:

Bukan siapa yang paling pintar, tapi siapa yang paling konsisten belajar.

Jadi, jangan takut untuk mulai. Lakukan satu langkah kecil setiap hari, dan kamu akan terkejut sejauh apa kamu bisa berkembang. Jika kamu siap, internet sedang menunggu pemburu bug berikutnya — bisa jadi, itu adalah kamu :D

Related Posts