Embedded Files
"Celah paling mahal tak pernah ditemukan oleh mereka yang hanya berani melangkah di jalur yang sudah ditandai. Dan bug terbaik selalu lahir dari imajinasi liar, bukan dari prosedur yang diulang-ulang. Jangan biarkan aturan membunuh rasa penasaranmu."
Biar kita satu frekuensi dulu. Metodologi pentest dan pentest checklist itu dua hal berbeda.
Metodologi pentest biasanya merujuk pada alur proses, seperti yang dijelaskan dalam PTES atau standar profesional lain: planning β scanning β gaining access β maintaining access β reporting β remediation.
Pentest checklist merujuk pada daftar teknik atau titik uji yang biasa digunakan, seperti yang ada di OWASP Testing Guide. Misalnya: OWASP-AC-001, yaitu pengujian Parameter Analysis untuk melihat apakah attacker bisa mendapatkan akses tambahan hanya dengan manipulasi parameter di URL atau form field.
Meskipun keduanya berbeda, pada kenyataannya keduanya seringkali digunakan bersamaan. Masih banyak yang tertukar bahkan dianggap sama.Β
Namun dalam strategi ini, yang kita maksud adalah sebuah pola pikir yang terstruktur rapi, linier, dan cenderung mengarah ke eksekusi teknis yang sama dari waktu ke waktu.
Metodologi/Checklist Pentest Dibuat untuk Coverage, Bukan Kreativitas
Metodologi pentest memang dibuat untuk satu hal utama: coverage. Tujuannya bukan untuk menemukan satu celah besar, tapi untuk memastikan semua permukaan telah diuji, semua komponen telah disentuh, dan semua pentest checklist telah dipenuhi.
Pendekatan seperti ini sangat berguna dalam memastikan semua permukaan telah diuji. Kamu butuh laporan yang lengkap, struktur yang rapi, dan bukti bahwa semua titik rawan telah diperiksa.
Tapi di dunia bug bounty, game-nya berbeda. Yang kamu cari bukanlah hasil pentest checklist yang terisi penuh. Yang kamu cari adalah satu celah berharga.
Justru eksploitasi yang berharga sering muncul dari eksplorasi abnormal: bukan karena kamu mematuhi SOP, tapi karena kamu berani menyimpang dari alur.
Kamu boleh saja menggunakan metodologi/checklist pentest untuk bug bounty, tapi kreatifitas di luar checklist pentest juga sangat diperlukan. Jangan hanya berpatokan pada ceklis tersebut.
Checklist Cenderung Bikin Kamu Predictable
Di dunia bug bounty, predictability bukan kekuatan. Predictability adalah tanda bahwa kamu bergerak di jalur yang sudah dibersihkan orang lain.
Scanner otomatis, pentester internal, hingga ratusan hunter lain di luar sana, mereka semua menggunakan pendekatan serupa. Metode yang terstruktur, checklist yang berulang.
Jika langkahmu persis sama seperti mereka, apa bedanya kamu?
Mereka mungkin punya akses lebih awal. Waktu lebih banyak. Dukungan alat lebih canggih. Dan saat kamu hanya bergerak berdasarkan pentest checklist misalnya WSTG atau sejenisnya, kamu bermain di medan yang sudah dikuasai banyak pihak.
Satu-satunya keunggulanmu sebagai hunter independen adalah insting liar yang berani keluar jalur.
Bukan flow chart. Bukan SOP.Β
Bug berharga ditemukan bukan karena kamu mengikuti jalan yang disiapkan orang lain, tapi karena kamu cukup keras kepala untuk bertanya:
"Apa yang terjadi kalau gue melenceng sedikit?"
Apa yang Dimaksud "Membunuh Insting Hunter"?
Insting hunter tidak lahir dari mengikuti prosedur. Insting lahir dari rasa curiga, dari dorongan untuk bertanya:
"Kayanya ada celah untuk pertahanin akses ke project di Google Apps Script deh. Gimana kalau gue coba putar jalur normalnya?"
Tapi checklist mengajarkan kamu untuk berhenti bertanya. Checklist membiasakan kamu berpikir:
"Abis ini tes ini, abis itu tes ini."
Sedikit demi sedikit, rasa curiga itu mati. Sedikit demi sedikit, rasa lapar untuk menyimpang itu hilang. Sampai akhirnya, kamu tidak lagi berburu celah. Kamu hanya memverifikasi pentest checklist. Bukan lagi hunter.
Pentest β Bug Bounty
Banyak orang mengira bahwa bug bounty adalah pentest namun berhadiah. Padahal, DNA keduanya sangat berbeda. Dalam pentest, tugasmu adalah melaporkan sebanyak mungkin potensi risiko. Semakin banyak temuan, termasuk yang sudah sesuai best practice atau standar industri (meskipun tak jarang beberapa temuan valid tetap ditolak atau dianggap bukan isu), semakin lengkap laporanmu. Audit internal menyukai checklist penuh seperti ini.
Di pentest, kamu bahkan bisa melaporkan sebuah vulnerability dengan label "potensial". Tapi di bug bounty, tidak ada ruang untuk sesuatu yang "potensial". Semua celah harus sudah berdampak nyata, valid, dan bisa dieksploitasi.
Tidak ada reward karena kamu sudah mengikuti flow normal. Tidak ada reward karena kamu sudah memeriksa semua input field. Reward hanya datang kalau kamu menemukan satu celah yang valid, berharga, dan bisa direplikasi.
Di pentest, kamu dinilai dari ketekunan.
Di bug bounty, kamu dinilai dari ketajaman.
Dan mindset ini menentukan segalanya.
Real Case: Persistent Access di Google Apps Script
Salah satu celah terbesar yang pernah saya temukan lahir bukan dari mengikuti checklist, melainkan dari rasa penasaran. Saya tidak sedang menjalankan pengujian Parameter Analysis untuk melihat apakah attacker bisa mendapatkan akses tambahan hanya dengan manipulasi parameter di URL atau form field (seperti yang tertera di pentest checklist OWASP-AC-001).
Saya hanya bertanya pada diri sendiri:
"Kalau saya diundang ke sebuah Google Apps Script project, lalu dihapus, apa benar akses saya hilang total?"
Checklist standar tidak pernah menyuruh saya mempertanyakan itu. Tapi rasa curiga mendorong saya untuk mengujinya. Write-up eksklusif tentang vulnerability ini bisa nanti kalian baca di P**** π.
Kembali ke pembahasan, keberhasilan saya menemukan celah ini bukan hasil dari menjalankan checklist. Bukan hasil dari menandai kotak satu per satu. Ini hasil dari rasa penasaran, rasa curiga, dan keberanian untuk keluar dari flow normal.
Penutup
Checklist itu berguna. Tapi checklist bukan alasan untuk berhenti bertanya. Kalau kamu masih menjadikan checklist sebagai kompas utama, kamu hanya akan bergerak di jalur yang sudah dibersihkan orang lain. Kamu tidak berburu celah. Kamu hanya membuktikan bahwa jalan itu aman.
"Ceklis hanya membuktikan bahwa jalan itu aman. Bug bounty membuktikan bahwa jalan itu ada celah."
Checklist sudah kamu tinggalkan. Tapi, apakah pola pikirmu juga sudah benar-benar bebas dari batasan? Karena celah terbesar seringkali ditemukan bukan oleh mereka yang rajin, tapi oleh mereka yang berani berpikir βngawurβ, melihat peluang di tempat yang tak terpikirkan.
Di strategi selanjutnya, kita akan bahas: Bagaimana cara berpikir di luar nalar, dan kenapa kamu nggak boleh jadi "scanner hidup".
Saat ini kamu sedang menikmati versi gratis.
Untuk membuka semua bab dan konten eksklusif
segera upgrade ke versi premium sekarang juga.
Ada baiknya teman-teman juga memahami term of use ini.
Google Sites
Report abuse