Bug Hunter: Cara Kerja, Bedanya dengan Hacker, dan Daftar Bug Bounty Program
KompasNusantara - Beberapa organisasi, seperti Google, sering mengadakan bug bounty program untuk membantu mengidentifikasi dan memperbaiki bug dalam aplikasi mereka. Program ini memberikan izin bagi para hunter untuk menguji apakah aplikasi yang telah diluncurkan memiliki bug. Karena itu, hadiah bug bounty program memiliki reward yang cukup menjanjikan. Program ini memang diperuntukkan bagi para hacker dengan skill tinggi sehingga dapat mengidentifikasi berbagai kerentanan yang ada. Untuk lebih memahaminya, simak pembahasannya berikut!
Apa itu bug hunter?
Bug hunter adalah seseorang yang memahami seluk beluk cybersecurity dan cukup berpengalaman dalam menemukan kerentanan atau bug dalam suatu sistem atau aplikasi. Berbagai lembaga atau platform menyediakan hadiah yang cukup tinggi bagi siapa pun yang berhasil menemukan bug dalam program mereka.
Bug bounty program memungkinkan peretas mendeteksi dan memperbaiki bug sebelum diketahui oleh publik. Dengan demikian, insiden penyalahgunaan dapat dicegah. Dalam beberapa tahun terakhir, berbagai perusahaan termasuk Google, Microsoft, Facebook, Yahoo, dan lain-lain mulai menawarkan penghargaan yang cukup tinggi untuk membantu mencari bug di situs web atau perangkat lunak mereka.
Bagaimana cara kerja bug hunter?
Tentunya sebelum terjun langsung di lapangan, ada baiknya memahami bagaimana cara menjadi bug hunter. Hal pertama yang penting dipahami bagi seorang bug hunter adalah bagaimana cara kerja aplikasi web dan memahami arsitektur aplikasi. Pemahaman yang kuat mengenai dasar aplikasi maupun web sangat penting, seperti dasar jaringan, komponen web seperti HTML, CSS, PHP, dan JavaScript. Pemahaman yang kuat akan meningkatkan peluang dalam menganalisis bug, meskipun tidak ahli pada semua bidang. Selain itu, ada beberapa keterampilan yang dibutuhkan untuk menjadi bug hunter, yaitu:
- Pengumpulan informasi
- SQL Injection
- Cross-Site Scripting (XSS)
- Server Side Request Forgery (SSRF)
- Local & Remote file inclusion
- Information Disclosure
- Remote Code Execution (RCE)
Kemudian, sebelum melakukan pendekatan praktikal, setiap bug hunter juga perlu mengetahui dasar-dasar dan konsep information security. Salah satu metode pembelajaran yang paling efektif adalah dengan menonton tutorial gratis, seperti YouTube atau mengikuti program pelatihan.
Seorang bug hunter harus terbiasa dengan beberapa komponen umum yang diperlukan, meskipun pada dasarnya tidak ada standar untuk seorang security researcher atau bug hunter. Komponen-komponen ini termasuk:
- Peramban web, yaitu komponen yang mencakup browser web yang digunakan untuk membuat serangkaian pengujian. Google Chrome atau Firefox adalah jenis peramban yang sering digunakan. Tambahkan add-on juga menjadi pertimbangan dalam mempermudah pekerjaan.
- Proxy, yaitu komponen yang diperlukan untuk memblok semua lalu lintas antara browser dan situs web target. Beberapa fitur dalam proxy, seperti encoding/decoding juga dapat membantu menganalisis beberapa serangan.
- Virtual machine, bagian perangkat yang sangat membantu karena memiliki dua alasan. Pertama, memungkinkan untuk mengisolasi alat pengujian dari sistem operasi asli. Kedua, untuk berlatih pada beberapa aplikasi rentan yang sudah dipublikasikan secara online seperti VulnHub.
Perbedaan bug hunter dengan hacker
Bug hunter sekilas mirip dengan hacker karena berusaha untuk memasuki suatu situs web atau aplikasi. Namun, keduanya memiliki perbedaan, tepatnya di bagian pekerjaan dan tujuan. Hacker atau peretas adalah seseorang yang mempelajari, menganalisis, memodifikasi, dan menerobos masuk ke dalam komputer atau situs, baik untuk mencari keuntungan atau karena suatu tantangan. Sementara itu, bug hunter adalah seseorang yang mencoba memasuki suatu komputer, web, atau aplikasi untuk mencari kesalahan yang terdapat pada kode suatu program. Menjadi seorang bug hunter harus memiliki kemampuan analisis dan keterampilan teknologi yang sangat tinggi.
Bug hunter secara etis meretas ke dalam jaringan perusahaan untuk memetakan bug yang mungkin ada. Kemudian, mereka akan melaporkannya ke perusahaan yang bersangkutan untuk sebuah imbalan. Bug hunter adalah salah satu keterampilan yang paling banyak dicari untuk semua perusahaan. Meskipun pada praktiknya tidak mudah, tetapi pekerjaan ini akan sangat bermanfaat apabila dilakukan dengan tepat. Seperti halnya menulis suatu kode (coding), diperlukan ketekunan, banyak feedback, serta tekad yang kuat. Itulah mengapa reward yang diberikan untuk seorang bug hunter cukup menjanjikan.
Daftar bug bounty program
Berikut daftar bug bounty program yang dikuratori oleh perusahaan terkemuka.
1. Cisco
Cisco menawarkan reward yang cukup tinggi bagi individu atau organisasi yang mampu menemukan masalah keamanan produk mereka untuk dilaporkan ke perusahaan. Upah minimum yang ditawarkan adalah $100 dan maksimum $2.500 untuk bug yang serius. Tautan bounty dapat kamu akses di sini.
2. Meta
Program bug bounty Facebook juga dibuka untuk siapa pun yang melaporkan masalah keamanan dalam jaringan Meta seperti Facebook, Instagram, Atlas, WhatsApp, dan lain-lain. Facebook menawarkan pembayaran minimal $500 hingga tanpa batas. Tautan bounty dapat kamu akses di sini.
3. Google
Setiap yang ada di .google.com, .blogger.com, youtube.com terbuka untuk bug bounty program. Google menawarkan pembayaran minimum $300 hingga hadiah tertinggi $31.337 untuk aplikasi Google. Tautan bounty dapat kamu akses di sini.
4. Quora
Quora juga menawarkan program bug bounty untuk semua bug hunter yang menemukan dan melaporkan bug dalam aplikasi mereka. Quora menawarkan pembayaran minimum $100 hingga $7000. Tautan bounty dapat kamu akses di sini.
5. Mozilla
Mozilla juga menawarkan program bug bounty untuk siapa pun yang menemukan bug di layanan Mozilla seperti Firefox, Thunderbird, dan aplikasi serta layanan lainnya. Jumlah minimum yang diberikan sebagai reward adalah $500 hingga $5000. Tautan bounty dapat kamu akses di sini.
6. Microsoft
Program bug bounty Microsoft resmi diluncurkan pada 23 September 2014 dan hanya yang berkaitan dengan layanan online. Hadiah yang ditawarkan sebesar $15.000 hingga $250.000 untuk menemukan bug kritis. Tautan bounty dapat kamu akses di sini.
7. Twitter
Twitter juga membuka program bug bounty untuk siapa pun yang menemukan bug dalam web dan aplikasi mereka. Hadiah yang ditawarkan dimulai dari $140 hingga $15000. Tautan bounty dapat kamu akses di sini.
8. Avast
Salah satu software antivirus yang populer digunakan di seluruh dunia ini juga membuka program bug bounty. Avast memberikan penghargaan untuk siapapun yang melaporkan eksekusi kode, peningkatan bypass scanner, serta DOS. Avast menyediakan reward dengan upah minimum sebesar $400 hingga $10.00. Tautan bounty dapat kamu akses di sini.
9. Vimeo
Vimeo adalah platform hosting, berbagi, dan layanan video yang berpusat di New York City, Amerika. Untuk meningkatkan keamanan dan performa platform, Vimeo juga mengadakan bug bounty program. Hadiah yang ditawarkan minimum $500 hingga maksimum $5000. Tautan bounty dapat kamu akses di sini.
10. PayPal
Layanan gateway pembayaran internasional, PayPal, juga menawarkan program bug bounty untuk para cybersecurity researcher. Jumlah reward yang diberikan oleh PayPal minimum sebesar $50 untuk bug keamanan di sistem mereka, dan maksimum s$1000. Tautan bounty dapat kamu akses di sini.
Itulah informasi mengenai bug hunter yang memiliki tugas mencari celah dengan meretas atau memasuki jaringan komputer suatu perusahaan dengan tujuan memperkuat sistem keamanan yang bersangkutan.