Dapet Bug BAC di Private Program

 

1. buat dua akun

2. awal testing, fitur reset password

3. ngide bisakah diselang seling(hunterharusnyapaham), ternyata respon http 400an bukan 200

4. ya sudah nyari bug lain

5. ngamatin traffic yang keluar masuk cukup lama

6. klak klik sini klak klik situ, dimana aja deh di coba dan amati

7. ahirnya pilihlah tuk cari bug bac, karena ada endpoin/api

8. diselang selinglah, email dan userid,., kebetulan dan untungnya dapet useridnya itu dari pas tes reset pasword

9. pastinya, dengan banyak pengamatan dan fokusnya kemana, [memahami fitur webnya]

10. alhamdulillah, login dari akun A tapi bisa akses informasi punyanya akun B juga

11. saya doakan kalian juga sering nemu bug BAC yah.. aaamiin

Mungkin ini Alasan Kenapa saya Sering di invite Private program

1. punya track record yg menjanjikan

2. pernah nemu bug di program yg mirip2 atau sama, meski gak 90% sama

3. niche skill, misal memang lagi nyari hunter yg sering lapor "bussines logic error"

4. pelaporan dan komunikasi, baik dan bagus (disenangi)

5. suka dan sering nulis tentang pengalamannya, dalam hunting, dan cocok dengan ekspetasi si private program tersebut

6. hoki aja, emang lagi butuh lebih banyak hunter, dan disebar ke random hunter

7. Out of the Box Thinking bahkan di level ekstrim Out of the World Thinking(ahlinya 0day biasanya)

8. aktif di lomba, event dan grup2 (nasional dan internasional pastinya).. yang kerja di platform akan merekomendasikanmu, sedikit banyak secara tidak langsung

Kesalahan Bug Hunter Pemula

ini ada sedikit petuah yang akan saya bagikan

1. tidak baca aturan main,, "ilmu selangit baca aturan pelit, rasain tu rezeki sempit_by-ariadesupriyatna" ya karena dapet bug tapi ..out scope.. terus

2. pakai tools otomatis full,, ketahuilah, fakta pahit bahwa, tools otomatis itu gak terlalu berguna di web besar(google/apple)

3. eksploitasi berlebih, tanpa ada kesepakatan.. tujuannya jelas,, agar service yang berjalan tidak terlalu terganggu atau bahasa ekstrimenya kita aman dari masalah hukum

4. kasih laporan yang "asal ada", padahal kenyataannya.. laporan yang bagus dan rapih, terlihat profesional dan lebih dihargai

5. mudah menyerah,, solusinya bisa kuasai minimal  tiga bug andalan, agar gak cepet bosen + menyerah

6. bahasa terlalu teknis + ngawang2, tanpa kejelasan, karena gak semua yang komunikasi dengan kita itu cukup ahli it

7. persiapan yang kurang(tanpa list atau mapping), intinya harus ada tujuan dan prosesnya yang realistis

8. cepat puas ketika nemu bug level low, seharusnya berusaha tingkatkan ke level medium atau bahkan high

nemu bug di GoTo, gini ceritanya

 

GoTo = Gojek Tokopedia

1. buka di web yang terlist di platform yeswehack

2. testing fitur yang ada di situ

3. lapor

4. di nyatakan "out of scope" karena itu termasuk subdomain, bukan domain aslinya

5. pelajarannya harus lebih teliti lihat aturan mainnya, karena sejago apapun elo, kalo keluar dari aturan yang disediakan, ya sayang banget gak dapat reward

Bagaimana Cerita Saya Punya Ambisi Untuk Mengontrol Internet Di Seluruh Dunia

1. elit hacker indonesia jim geovedi mampu mengendalikan internet di indonesia, gue jadi tertantang apakah bisa ya gue ngendaliian internet di seluruh dunia

2. penasaran oprak.oprek , dan kepikirin pakai nmap, kenpa nmap? pikirkan kata ini, "keterhubungan" setahu saya amerika adalah penguasa internet dan tentu nmap ini sedikit banyak mencerminkan orang2 geek it nya amerika

3. setelah banyak percobaan dan berhasil, meskipun berhasil hanya untuk deteksi awal saja, ternyata dari pusatnya merespon, dengan saya gunakan tehnik penyamaran

4. sempet diskusi dengan salahsatu sepuh bsd, yap pak mimin. untuk lengkap diskusinya bisa di lihat di sini => https://github.com/ariadesupriyatna/Security.Researcher/raw/refs/heads/main/Bypass.Firewall.on.Root.DNS.Server.zip

5. 

kenapa lakuin ini?

karena penasaran saja, dan mau test kemampuan saya sudah sejauh mana, dan amit2nya jika terjadi perang, (kita punya keunggulan di internet)

apakah ambisi itu masih ada?

masih tapi bukan prioritas utama

urutkan prioritasmu jika berkenan?

rahasia, nantikan saja kejutannya

6. terlepas dari lo percaya dan atau tidaknya, silahkan ambil poin2nya.. dan terlepas mungkin atau tidaknya, ku percaya sistem tidak ada yang aman..

7. kurang lebihnya itu, ada yang ku sebar dan simpen, karena informasi di jaman informasi itu, beda2 nilai dan beda2 resiko

Awal Niat Mau Baca Berita, Eh Malah Hunting Bug

1. biasa.. kadang2 suka baca berita gue

2. eh jiwa testing penasarannya muncul

3. "cobain xss kali ye" kataku

4. set sat set cobain berbagai payload , sampe yang andalan pun gak mempan

5. "weh mantep juga web berita indonesia ini" kataku

6. lalu gue coba lakuin injek html, dan Woilah, Work Mwehe

7. sudah lapor dan gak ada balesan, gak tau open bug bounty apa enggak nya

8. tapi saran doang, web berita harusnya yang lebih menghargai para hunter dan researcher, karena bisa aja dijadiin tempat berita hoax oleh hacker jahat

Pengalaman Lapor Bug di Website Universitas

intinya univ indo yg saya rahasiakan dimana,

ambil poin2nya yaa

1. nemu bug hanya pakai google dorking di salahsatu subdomain

2. setelah diskusi panjang lebar, dan sudah saling percaya lewat logika dasar  antara saya dengan si pemilik web

3. eh tiba2 si developernya bilang gini.. itu masih demo blom rilis ke publik, kan kocak.. developer nurunin ego dikit napa ya.. bilang makasih atau kasih certif kek, ini prasaan saya dalam hati waktu itu

4. jelas2 itu sudah publik + ke index google, dan bugnya masuk ke kategori kritikal/gawat

5. dengan beberapa hari kemudian, "ah yaudah bodo amat, mungkin developernya baru belajar", pikir dan kataku,, dan memungkinkan juga dia gak mau disalahsalahin sama si pemilik/pemegang webnya

ini kejadiannya 3 tahunan lalu.. mbok yo saling menghargai toh.. jangan pengen menang sendiri.. udah kentara dari penulisan kata2nya di email waktu itu, duh dasar developer, minimal 2m = makasih mas, gituloh.....