Pendahuluan
Artikel kali ini saya akan menceritakan tentang bagaimana saya menghasilkan uang dari Situs yang tidak memilik program Bug bounty, karena menurut saya ini sangat menarik untuk dibahas, dari awal saya menemukan situs hingga di bayar oleh pemilik situs sebagai ucapan terima kasih karena melaporkan sebuah kerentanan.
Dalam beberapa bulan terkahir saya lebih sering mencari sebuah kerentanan di Situs Random, dan bukan di situs yang memiliki Bug Bounty Program. Walaupun hadiah yang di berikan tidak sebesar situs yang memiliki BBP, namun ini sangat menyenangkan.
Pada umumnya situs yang memiliki BBP (Bug Bounty Program) atau yang terdaftar di platform seperti HackerOne atau Bugcrowd sudah banyak peneliti lain yang menemukan celah. Dan jika saya memilih situs random kemungkinan masih banyak celah yang bisa saya temukan.
Mencari Situs
Tentunya pada tahap awal kita akan mencari sebuah situs yang ingin kita uji dan melaporkan nya ke Tim support situs tersebut, dan bagaimana saya memilih situs yang kemungkinan besar itu bisa membayar kita?
Saya sering mencari situs dari iklan-iklan di YouTube, Google search, Instagram story Influencer (biasanya suka promosikan situs-situs), etc.
Kalian juga bisa memilih kategori situs yang ingin kalian uji dengan Pencarian di Google, misalnya kalian ingin menguji situs penyedia layanan Hosting & Domain. Kalian bisa mencari dengan kata kunci "Buy Hosting" (Tinggal ubah kata kunci) di pencarian Google, YouTube, etc.
Menuliskan Laporan
Di tahap ini ada tips untuk kalian 👀 Kebanyakan bug bounty hunter malas jika mencari Kerentanan pada situs yang tidak memiliki Program bug bounty, peneliti malas jika temuan tersebut dilaporkan namun tidak mendapatkan apapun walaupun temuan mereka Beresiko tinggi bagi pengguna maupun situs tersebut.
Sebelum menuliskan laporan kepada email mereka, sebaiknya kalian menanyakan terlebih dahulu pada livechat atau email support situs tersebut, contohnya:
Apakah ada imbalan hadiah jika melaporkan kerentanan?
Dibawah adalah beberapa bounty yang saya dapatkan di situs random, Dan saya juga tidak berekspetasi tinggi dengan nilai bounty yang di berikan, perlu di ingat bahwa situs-situs ini tidak memiliki Program bug bounty
Beberapa situs tidak menanggapi Kerentanan dengan serius, dan jika anda bertanya tentang imbalan mereka mungkin membalas "tidak ada imbalan untuk laporan kerentanan" Jika kalian mendapatkan balasan seperti itu apakah kalian akan menyerah?
Coba jelaskan lebih detail tentang Kerentanan yang anda temukan serta beritahu dampak nya! Contohnya seperti kasus saya baru baru ini, pada awalnya mereka tidak akan memberikan bounty kepada siapapun yang melaporkan Kerentanan.
Namun ketika saya menjelaskan tentang kerentanan tersebut bahwa saya dapat masuk ke akun pengguna lain, bahkan saya dapat masuk ke akun Admin, pada saaat itu juga akun Support lain menawarkan saya dengan bounty 250$ untuk temuan saya.
Kalo masih tidak mau memberikan Bounty gimana? Yaudah report aja, atau terserah kalian ingin melaporkan atau tidak :D
Kerentanan
Di beberapa situs random saya banyak menemukan beberapa kerentanan, karena belum banyak peneliti lain yang mencari kerentanan pada situs-situs yang saya uji.
Beberapa kerentanan yang saya temukan di antaranya adalah
- IDOR
- PII
- XSS Reflected / Stored
- SQL Injection
- Privilege Escalation
- Etc
Dan kemungkinan akan saya tuliskan / upload tentang temuan di atas pada blog ini atau Channel saya
Penutup
Dengan artikel ini, saya ingin menunjukkan bahwa mencari situs random dan melaporkan kerentanan di situs tersebut bisa menjadi cara yang seru dan menguntungkan untuk mendapatkan uang tambahan. Dalam perjalanan saya, saya menemukan banyak kerentanan yang belum diketahui oleh pemilik situs, dan melaporkannya dengan baik membuat saya mendapatkan hadiah tunai.
Tidak hanya itu, pengalaman ini juga membantu saya belajar lebih banyak tentang keamanan web dan bagaimana melindungi diri dari serangan online. Menggali kerentanan situs random juga memungkinkan saya untuk berkontribusi dalam meningkatkan keamanan internet secara keseluruhan.
Namun, perlu diingat bahwa mencari kerentanan di situs web harus dilakukan dengan etika dan integritas. Penting untuk berbicara dengan pemilik situs terlebih dahulu dan mendapatkan izin sebelum mulai mencari kerentanan. Selain itu, melaporkan kerentanan dengan jelas dan lengkap akan membantu pemilik situs memperbaikinya dengan cepat.
