Dapet Bug BAC di Private Program

 

1. buat dua akun

2. awal testing, fitur reset password

3. ngide bisakah diselang seling(hunterharusnyapaham), ternyata respon http 400an bukan 200

4. ya sudah nyari bug lain

5. ngamatin traffic yang keluar masuk cukup lama

6. klak klik sini klak klik situ, dimana aja deh di coba dan amati

7. ahirnya pilihlah tuk cari bug bac, karena ada endpoin/api

8. diselang selinglah, email dan userid,., kebetulan dan untungnya dapet useridnya itu dari pas tes reset pasword

9. pastinya, dengan banyak pengamatan dan fokusnya kemana, [memahami fitur webnya]

10. alhamdulillah, login dari akun A tapi bisa akses informasi punyanya akun B juga

11. saya doakan kalian juga sering nemu bug BAC yah.. aaamiin

Mungkin ini Alasan Kenapa saya Sering di invite Private program

1. punya track record yg menjanjikan

2. pernah nemu bug di program yg mirip2 atau sama, meski gak 90% sama

3. niche skill, misal memang lagi nyari hunter yg sering lapor "bussines logic error"

4. pelaporan dan komunikasi, baik dan bagus (disenangi)

5. suka dan sering nulis tentang pengalamannya, dalam hunting, dan cocok dengan ekspetasi si private program tersebut

6. hoki aja, emang lagi butuh lebih banyak hunter, dan disebar ke random hunter

7. Out of the Box Thinking bahkan di level ekstrim Out of the World Thinking(ahlinya 0day biasanya)

8. aktif di lomba, event dan grup2 (nasional dan internasional pastinya).. yang kerja di platform akan merekomendasikanmu, sedikit banyak secara tidak langsung

Kesalahan Bug Hunter Pemula

ini ada sedikit petuah yang akan saya bagikan

1. tidak baca aturan main,, "ilmu selangit baca aturan pelit, rasain tu rezeki sempit_by-ariadesupriyatna" ya karena dapet bug tapi ..out scope.. terus

2. pakai tools otomatis full,, ketahuilah, fakta pahit bahwa, tools otomatis itu gak terlalu berguna di web besar(google/apple)

3. eksploitasi berlebih, tanpa ada kesepakatan.. tujuannya jelas,, agar service yang berjalan tidak terlalu terganggu atau bahasa ekstrimenya kita aman dari masalah hukum

4. kasih laporan yang "asal ada", padahal kenyataannya.. laporan yang bagus dan rapih, terlihat profesional dan lebih dihargai

5. mudah menyerah,, solusinya bisa kuasai minimal  tiga bug andalan, agar gak cepet bosen + menyerah

6. bahasa terlalu teknis + ngawang2, tanpa kejelasan, karena gak semua yang komunikasi dengan kita itu cukup ahli it

7. persiapan yang kurang(tanpa list atau mapping), intinya harus ada tujuan dan prosesnya yang realistis

8. cepat puas ketika nemu bug level low, seharusnya berusaha tingkatkan ke level medium atau bahkan high