Pendahuluan

Dunia cybersecurity memiliki banyak bidang yang menarik untuk dipelajari, dan salah satu yang paling populer adalah bug hunting. Banyak orang tertarik menjadi bug hunter karena aktivitas ini terlihat menantang, seru, dan dalam beberapa kasus juga bisa menghasilkan uang melalui program bug bounty.

Namun, banyak pemula yang salah langkah saat mulai belajar. Ada yang langsung memakai banyak tools tanpa memahami cara kerjanya. Ada juga yang terlalu cepat mencoba target nyata tanpa memahami legalitas, etika, dan dasar keamanan web. Akibatnya, proses belajar jadi berantakan, membingungkan, bahkan berisiko.

Padahal, menjadi bug hunter tidak harus dimulai dengan cara yang rumit. Dengan roadmap yang jelas, pemula bisa belajar secara bertahap dari nol sampai siap melakukan hunting secara legal dan terarah.

Artikel ini akan membahas roadmap belajar bug hunter selama 3 bulan dengan bahasa yang sederhana. Tujuannya bukan hanya agar kamu bisa memahami dasar-dasarnya, tetapi juga agar kamu benar-benar siap melakukan hunting dengan cara yang aman, rapi, dan profesional.

Apa Itu Bug Hunter dan Bagaimana Cara Kerjanya?

Bug hunter adalah orang yang mencari kelemahan keamanan atau bug pada sistem, website, aplikasi, atau API yang memang mengizinkan pengujian keamanan. Biasanya, bug hunter bekerja melalui:

  • Bug bounty program
  • Vulnerability Disclosure Program (VDP)
  • Private program
  • Responsible disclosure

Tugas bug hunter adalah menemukan celah keamanan, membuktikan bahwa celah itu nyata, lalu melaporkannya secara profesional kepada pemilik sistem.

Perbedaan Bug Hunter, Pentester, dan Ethical Hacker

Sekilas mirip, tetapi sebenarnya ada perbedaan:

Bug Hunter

  • fokus mencari bug pada target yang diizinkan
  • sering bekerja mandiri
  • biasanya berdasarkan scope program

Pentester

  • melakukan pengujian keamanan secara formal
  • biasanya berdasarkan kontrak dan waktu tertentu
  • scope lebih terstruktur

Ethical Hacker

  • istilah umum untuk orang yang melakukan hacking secara legal dan etis

Bug hunter bisa dianggap sebagai bagian dari dunia ethical hacking, tetapi dengan fokus yang lebih spesifik.

Legalitas Sangat Penting

Satu hal yang harus dipahami sejak awal:

Bug hunting yang benar adalah bug hunting yang legal.

Artinya, kamu hanya boleh menguji sistem yang mengizinkan pengujian. Jangan pernah mencoba “iseng” ke website atau aplikasi yang tidak memiliki kebijakan bug bounty atau disclosure yang jelas.

Skill Dasar yang Harus Dimiliki Sebelum Mulai Hunting

Sebelum masuk ke tahap hunting, ada beberapa skill dasar yang harus dipahami. Tanpa fondasi ini, kamu akan kesulitan memahami apa yang sedang terjadi saat melihat traffic web atau API.

1. Dasar Web Application

Kamu harus paham cara kerja website modern, seperti:

  • bagaimana browser berkomunikasi dengan server
  • bagaimana form login bekerja
  • bagaimana session disimpan
  • bagaimana user mengakses halaman tertentu

Topik dasar yang perlu dipelajari:

  • HTML
  • JavaScript dasar
  • URL
  • form input
  • cookies
  • sessions

2. Dasar HTTP dan HTTPS

Bug hunter harus sangat akrab dengan HTTP request dan response.

Kamu harus memahami:

  • GET
  • POST
  • PUT
  • DELETE
  • headers
  • status code
  • cookies
  • authorization token

Kalau kamu belum nyaman membaca request/response, maka proses bug hunting akan terasa sangat sulit.

3. Authentication dan Authorization

Ini salah satu area terpenting dalam bug hunting.

Authentication

Menjawab pertanyaan:

“Siapa kamu?”

Contoh:

  • login dengan username dan password
  • token login
  • session cookie

Authorization

Menjawab pertanyaan:

“Apa yang boleh kamu akses?”

Contoh:

  • user biasa hanya bisa melihat datanya sendiri
  • admin bisa melihat semua data

Banyak bug penting ditemukan karena sistem gagal membedakan siapa user-nya dan apa yang boleh dia lakukan.

4. Dasar API

Banyak aplikasi modern menggunakan API. Karena itu, bug hunter juga harus paham:

  • endpoint API
  • JSON
  • authorization header
  • token
  • request body
  • response structure

5. Dasar Linux dan Command Line

Kamu tidak harus jadi ahli Linux, tapi minimal kamu harus nyaman menggunakan terminal untuk:

  • menjalankan tools
  • melihat file
  • mengelola folder
  • parsing data sederhana

Tools Dasar yang Wajib Dikuasai Bug Hunter Pemula

Banyak pemula berpikir bahwa semakin banyak tools, semakin hebat mereka. Padahal kenyataannya, lebih baik menguasai sedikit tools tapi benar-benar paham.

Berikut tools dasar yang sangat berguna.

1. Browser dan DevTools

Ini alat paling dasar dan sering diremehkan.

Dengan browser dan DevTools, kamu bisa:

  • melihat request
  • melihat response
  • menganalisis JavaScript
  • memeriksa cookies
  • memeriksa local storage

2. Burp Suite

Burp Suite adalah tools yang hampir wajib untuk bug hunter web.

Burp bisa digunakan untuk:

  • intercept request
  • mengubah request
  • mengirim ulang request
  • menguji parameter
  • melihat alur aplikasi

Kalau kamu serius ingin jadi bug hunter, Burp Suite adalah teman dekatmu.

3. curl

Tool command-line sederhana untuk mengirim HTTP request. Sangat berguna untuk:

  • menguji API
  • membuat request manual
  • mengulang request tanpa browser

4. ffuf

Digunakan untuk:

  • menemukan direktori
  • menemukan endpoint tersembunyi
  • parameter discovery

5. subfinder / amass

Digunakan untuk mencari subdomain.

6. httpx

Berguna untuk memeriksa apakah subdomain hidup atau tidak.

7. Postman atau Insomnia

Sangat berguna untuk:

  • testing API
  • menyimpan request
  • mengelola token

8. jq

Membantu membaca dan memformat output JSON agar lebih mudah dianalisis.

9. nuclei (gunakan dengan bijak)

Tool ini berguna untuk otomatisasi pengecekan, tetapi harus digunakan dengan hati-hati dan tetap mengikuti aturan program.

Ingat: tools hanya membantu. Yang paling penting tetap cara berpikir dan analisis kamu.

Gambaran Roadmap Belajar 3 Bulan

Roadmap ini dibagi menjadi 12 minggu.

Bulan 1

Fokus pada:

  • fondasi teknis
  • memahami web, HTTP, auth, API
  • belajar tools dasar

Bulan 2

Fokus pada:

  • memahami jenis-jenis bug
  • belajar pola serangan
  • latihan eksploitasi dasar di lingkungan aman

Bulan 3

Fokus pada:

  • recon
  • simulasi hunting
  • menulis report
  • mulai hunting secara legal

Sekarang kita bahas satu per satu.

Bulan Pertama: Membangun Fondasi Teknis

Tujuan bulan pertama adalah membuat kamu nyaman memahami cara kerja aplikasi.

Minggu 1 – Memahami Dasar Web dan HTTP

Di minggu pertama, fokuslah memahami cara kerja web.

Pelajari:

  • apa itu request dan response
  • apa itu URL
  • apa itu query parameter
  • apa itu cookies
  • apa itu session
  • apa itu status code

Yang harus bisa dilakukan:

  • membuka DevTools di browser
  • melihat request saat login
  • memahami perbedaan GET dan POST
  • mengenali cookie session

Hasil akhir minggu 1:

Kamu sudah mulai bisa “membaca bahasa” aplikasi web.

Minggu 2 – Belajar Burp Suite dan Intercept Request

Setelah memahami dasar web, masuk ke Burp Suite.

Fokus belajar:

  • setup proxy
  • menangkap request dari browser
  • mengubah parameter
  • mengirim request ulang dengan Repeater
  • memahami response

Latihan:

  • login ke aplikasi latihan
  • tangkap request login
  • ubah nilai parameter sederhana
  • lihat perbedaan response

Hasil akhir minggu 2:

Kamu sudah bisa melihat dan memodifikasi traffic aplikasi.

Minggu 3 – Memahami Authentication dan Authorization

Ini minggu yang sangat penting.

Pelajari:

  • bagaimana login bekerja
  • bagaimana session dikelola
  • apa itu access control
  • apa itu role
  • bagaimana token digunakan

Fokus:

  • bedakan authN dan authZ
  • pahami alur login, logout, reset password
  • pahami fitur profile dan role

Hasil akhir minggu 3:

Kamu mulai paham area yang sering menjadi sumber bug penting.

Minggu 4 – Dasar API Security dan JSON

Banyak aplikasi modern sekarang berbasis API, jadi minggu keempat fokus ke sana.

Pelajari:

  • endpoint API
  • JSON request body
  • JSON response
  • authorization header
  • token bearer
  • HTTP methods

Latihan:

  • gunakan Postman atau Burp untuk mengirim request API
  • ubah body JSON
  • ubah ID
  • lihat bagaimana server merespons

Hasil akhir minggu 4:

Kamu sudah punya fondasi untuk menguji API.

Bulan Kedua: Memahami Jenis-Jenis Bug dan Teknik Hunting

Di bulan kedua, kamu mulai belajar pola bug yang paling umum di bug bounty.

Minggu 5 – Belajar IDOR dan Broken Access Control

Ini adalah salah satu bug paling penting dan paling sering ditemukan.

Apa itu IDOR?

IDOR terjadi ketika user bisa mengakses data milik user lain hanya dengan mengganti ID atau referensi objek.

Contoh:

  • /api/profile/123
  • ubah jadi /api/profile/124
  • ternyata data user lain terbuka

Fokus belajar:

  • horizontal privilege escalation
  • vertical privilege escalation
  • ownership validation

Hasil akhir minggu 5:

Kamu mulai paham bagaimana access control bisa gagal.

Minggu 6 – Belajar XSS dan Input Validation

XSS adalah bug klasik, tapi tetap penting.

Pelajari:

  • reflected XSS
  • stored XSS
  • bagaimana input ditampilkan kembali
  • pentingnya sanitasi input dan output encoding

Fokus:

  • form komentar
  • search box
  • profile fields
  • message fields

Hasil akhir minggu 6:

Kamu memahami bagaimana input user bisa menjadi celah keamanan.

Minggu 7 – Belajar File Upload, Open Redirect, dan SSRF Dasar

Minggu ini fokus pada fitur-fitur umum yang sering punya celah.

Pelajari:

  • bagaimana file upload divalidasi
  • bagaimana redirect bekerja
  • bagaimana server mengambil resource eksternal

Bug yang dipelajari:

  • upload file berbahaya
  • bypass file extension
  • open redirect
  • dasar SSRF

Hasil akhir minggu 7:

Kamu mulai mengenali pola bug pada fitur yang sering dipakai aplikasi.

Minggu 8 – Belajar Business Logic Flaw dan API Abuse

Ini salah satu area yang sangat kuat untuk bug hunter.

Apa itu business logic flaw?

Bug yang muncul karena sistem salah menerapkan aturan bisnis, bukan sekadar kesalahan teknis.

Contoh:

  • diskon bisa dipakai berkali-kali
  • role bisa dimanipulasi
  • invite code bisa disalahgunakan
  • order bisa dimodifikasi setelah checkout

Fokus belajar:

  • pahami flow aplikasi
  • pahami bagaimana user “seharusnya” berinteraksi
  • cari cara agar aturan bisnis bisa dibypass

Hasil akhir minggu 8:

Kamu mulai berpikir seperti bug hunter yang tidak hanya melihat teknis, tetapi juga logika aplikasi.

Bulan Ketiga: Recon, Simulasi, dan Siap Hunting

Di bulan ketiga, kamu mulai belajar cara bekerja seperti bug hunter sungguhan.

Minggu 9 – Belajar Recon Dasar

Recon adalah proses mengenali target sebelum testing lebih dalam.

Pelajari:

  • subdomain enumeration
  • endpoint discovery
  • JS file analysis
  • archived URLs
  • hidden parameters

Tools yang bisa dipakai:

  • subfinder
  • amass
  • httpx
  • ffuf
  • wayback data
  • browser DevTools

Hasil akhir minggu 9:

Kamu bisa memetakan permukaan serangan target dengan lebih rapi.

Minggu 10 – Simulasi Hunting pada Lab atau Target Latihan

Sekarang saatnya simulasi.

Pilih target latihan atau lab legal

Lalu lakukan seperti bug hunter sungguhan:

Langkah:

  1. pahami fitur aplikasi
  2. buat akun test
  3. petakan role dan flow
  4. tangkap request
  5. uji auth/authz
  6. uji input dan logika bisnis
  7. dokumentasikan semua

Hasil akhir minggu 10:

Kamu mulai membangun metodologi hunting pribadi.

Minggu 11 – Belajar Menulis Report Bug Bounty

Menemukan bug itu penting, tetapi menulis report juga sama pentingnya.

Struktur report yang baik:

  • judul
  • ringkasan
  • aset terdampak
  • langkah reproduksi
  • proof of concept
  • impact
  • saran mitigasi

Contoh bug report yang buruk:

  • tidak jelas
  • tidak bisa direproduksi
  • impact tidak dijelaskan

Hasil akhir minggu 11:

Kamu bisa menulis report yang lebih profesional dan mudah dipahami triager.

Minggu 12 – Mulai Hunting di Program Nyata

Sekarang kamu mulai masuk ke dunia hunting nyata.

Pilih target yang cocok untuk pemula

Cari program yang:

  • public
  • scope jelas
  • tidak terlalu kompleks
  • punya aturan yang mudah dipahami

Sebelum hunting, lakukan ini:

  • baca scope
  • baca out-of-scope
  • baca policy
  • pahami batas pengujian
  • siapkan akun test

Hasil akhir minggu 12:

Kamu siap melakukan hunting pertamamu dengan cara yang legal dan terarah.

Cara Belajar yang Efektif Selama 3 Bulan

Belajar bug hunting tidak harus 10 jam sehari. Yang penting adalah konsisten.

1. Belajar 1–2 Jam per Hari

Lebih baik belajar sedikit tapi rutin daripada semangat 2 hari lalu hilang 2 minggu.

2. Praktik Langsung

Jangan hanya menonton video atau membaca artikel. Setiap konsep harus langsung dicoba.

3. Catat Semua Hal Penting

Buat catatan tentang:

  • bug yang dipelajari
  • tools
  • payload
  • pola temuan
  • alur aplikasi

4. Fokus pada Pemahaman

Jangan buru-buru pindah ke topik lain jika fondasi belum kuat.

5. Evaluasi Setiap Minggu

Tanya ke diri sendiri:

  • apa yang sudah saya pahami?
  • apa yang masih membingungkan?
  • apa yang perlu saya ulang?

Kesalahan Umum Pemula Saat Belajar Bug Hunting

Banyak pemula gagal berkembang karena melakukan kesalahan yang sama.

1. Terlalu Banyak Tools

Akhirnya tidak benar-benar paham satu pun.

2. Terlalu Cepat Ingin Hunting Nyata

Padahal fondasi belum cukup.

3. Tidak Paham HTTP

Padahal ini bahasa utama bug hunter.

4. Hanya Copy-Paste Payload

Tanpa memahami kenapa payload itu dipakai.

5. Terlalu Bergantung pada Scanner

Tools otomatis berguna, tapi tidak bisa menggantikan analisis manusia.

6. Tidak Dokumentasi

Akhirnya bingung sendiri saat menemukan sesuatu.

7. Tidak Belajar Menulis Report

Padahal ini kunci agar temuanmu dihargai.

Cara Melindungi Aktivitas Bug Hunting Sejak Awal

Ini bagian yang sangat penting.

1. Hanya Hunting pada Target yang Mengizinkan

Jangan pernah uji target di luar scope.

2. Selalu Baca Scope dan Policy

Perhatikan:

  • in-scope
  • out-of-scope
  • rate limit
  • hal yang dilarang

3. Simpan Bukti Aturan Program

Simpan:

  • screenshot scope
  • policy
  • URL program
  • timestamp

4. Gunakan Akun Test Sendiri

Jangan mengganggu user nyata jika tidak perlu.

5. Gunakan Minimum-Impact Testing

Buktikan bug secukupnya, jangan berlebihan.

6. Pisahkan Workspace Hunting dan Aktivitas Pribadi

Gunakan:

  • browser profile khusus
  • email khusus
  • folder dokumentasi terpisah

7. Dokumentasikan Semua Aktivitas Penting

Ini sangat membantu jika suatu saat kamu perlu menjelaskan langkahmu.

Bug hunter yang baik bukan hanya menemukan bug, tapi juga tahu cara bekerja dengan aman dan bertanggung jawab.

Target yang Realistis Setelah 3 Bulan

Setelah 3 bulan, kamu mungkin belum langsung menjadi bug hunter hebat. Dan itu normal.

Yang realistis setelah 3 bulan adalah kamu sudah bisa:

  • membaca request dan response
  • menggunakan Burp Suite dengan nyaman
  • memahami auth dan authz
  • menguji API dasar
  • mengenali bug umum seperti IDOR, XSS, dan business logic flaw
  • melakukan recon sederhana
  • menulis report bug bounty dasar
  • mulai hunting di target legal

Ini sudah merupakan pencapaian yang sangat baik.

Langkah Setelah Siap Hunting

Setelah selesai roadmap ini, jangan langsung membuka 20 target sekaligus.

Mulailah dengan sederhana:

  • pilih 1–2 program
  • pahami aplikasinya dengan baik
  • fokus pada satu area
  • dokumentasikan prosesmu
  • evaluasi setiap hasil

Bangun reputasi dengan:

  • report yang rapi
  • testing yang aman
  • tidak spam
  • tidak noisy
  • fokus pada kualitas

Seiring waktu, kemampuanmu akan berkembang jauh lebih baik.

Kesimpulan

Menjadi bug hunter bukan tentang siapa yang paling banyak tools atau paling sering menjalankan scanner. Menjadi bug hunter adalah tentang memahami cara kerja aplikasi, berpikir kritis, dan menguji dengan cara yang rapi dan legal.

Dengan roadmap belajar selama 3 bulan, pemula bisa membangun fondasi yang kuat mulai dari:

  • dasar web
  • HTTP
  • auth/authz
  • API
  • bug umum
  • recon
  • report writing
  • hunting nyata

Yang paling penting, proses belajar ini harus dijalani dengan sabar, konsisten, dan etis.

Menjadi bug hunter bukan tentang bergerak paling cepat, tetapi tentang membangun kemampuan yang benar dan bertahan lama.

Related Posts: