Membangun Portfolio Bug Hunter
Portfolio yang kuat membuka pintu ke program private, kontrak security, dan karir di cyber security. Ini adalah investasi jangka panjang yang lebih berharga dari reward uang.
Blog Writeup
Writeup adalah tulisan yang menjelaskan bagaimana kamu menemukan bug — proses recon, metodologi, dan cara eksploitasinya. Ini salah satu cara terbaik membangun reputasi.
Platform untuk Publikasi:
- Medium — paling populer di komunitas bug bounty
- Blog pribadi — domain sendiri = lebih profesional
- GitHub Pages — gratis, markdown-based
- dev.to — komunitas developer yang aktif
Struktur Writeup yang Baik:
1. Introduction — singkat tentang target dan konteks
2. Reconnaissance — bagaimana kamu menemukan aset yang vulnerable
3. Discovery — momen "aha!" ketika menemukan bug
4. Exploitation — langkah teknis eksploitasi
5. Impact — apa yang bisa dilakukan attacker
6. Timeline — kapan ditemukan, dilaporkan, dan diperbaiki
7. Lessons Learned — apa yang bisa dipelajari dari bug ini
HackerOne Profile & Reputation
Reputasi di HackerOne terbentuk dari:
- Signal — ratio laporan valid vs noise
- Impact — severity rata-rata temuanmu
- Jumlah bug valid yang diterima
Jaga reputasi: Jangan submit laporan yang belum kamu validasi betul. Laporan N/A dan duplicate yang banyak akan menurunkan reputasi — justru mempersulit masuk program private yang bagus.
CVE — Common Vulnerabilities & Exposures
CVE adalah ID unik untuk kerentanan di software/library publik. Punya CVE atas namamu adalah pencapaian besar.
# Cara mendapatkan CVE:
1. Temukan bug di open source software / library
2. Laporkan ke vendor atau langsung ke MITRE/CVE program
3. Vendor confirm → CVE ID diterbitkan
4. CVE muncul di database publik dengan namamu sebagai discoverer
Roadmap Karir
| Level | Pencapaian | Peluang |
|---|
| Pemula | 5–10 bug valid pertama | Program public, belajar terus |
| Intermediate | Beberapa High/Critical, writeup | Private program invite |
| Advanced | CVE, top leaderboard, blog aktif | Full-time hunting, kontrak |
| Expert | Bug di Google/Facebook/Apple | Tim red team, konsultan security |
Mulai sekarang! Daftar akun di HackerOne dan Bugcrowd hari ini. Kerjakan lab di PortSwigger Web Academy. Tulis writeup pertamamu meski belum ada bug bounty — dokumentasikan proses belajarmu. Konsistensi selama 6–12 bulan akan membawa hasil nyata.
// CEK PEMAHAMAN
Apa dampak negatif dari terlalu banyak submit laporan N/A atau duplicate di platform bug bounty?
AAkun langsung diblokir
BReputasi turun sehingga sulit masuk program private yang eksklusif
CReward dari bug valid sebelumnya dicabut
DTerkena sanksi hukum dari perusahaan