How To Reporting Bug?
Halo teman teman kali ini saya mau sharing ke teman teman semua cara reporting bug ke perusahaan yang tidak mengadakan program bug bounty based pengalaman saya nih, banyak juga teman teman di facebook, linkedin yang menanyakan hal ini ke saya,
oke sebenar nya banyak resiko juga untuk report atau mencari sebuah bug di perusahaan yang tidak mengadakan program bug bounty, karena itu di anggap ilegal access walaupun niat kita baik loh, jadi untuk di artikel ini sebenar nya tidak cuman untuk reporting bug ke perusahaan yang tidak mengadakan bug bounty saya tapi untuk semua orang / bug hunter yang ingin melakukan reporting bug supaya hasil temuan nya mudah di mengerti,
Ada 2 tipe cara reporting, ada yang tulis langsung di body email dan ada juga yang pakai file PDF/DOCX dll supaya rapih, disini saya bakalan sharing ke 2 nya.
Body Email
Cara yang pertama adalah reporting secara langsung via body email, disini saya kasih contoh template laporan milik bukalapak
Nah bukalapak sendiri menyarankan untuk membuat laporan langsung via body email tidak perlu melampirkan file PDF/DOCX dll, cuman disini kita harus perhatikan ke 3 point seperti subject, body, dan attachment harus jelas,
Subject harus sudah menggambarkan informasi letak atau jenis bug yang di temukan, contohnya :
“ Bug Reflected XSS di From Register “
dilaman subject tersebut sudah sedikit memberikan informasi jenis bug yang di temukan dan lokasi bug di temukan
Body nah untuk isi dari body sendiri harus dengan jelas memberikan informasi, seperti deskripsi bug yang kita temukan, impact bug, proof of concept, dan note atau pesan singkat di akhir laporan
Pertama disini kita harus menunjukan etika kita sebagai bug hunter seperti memberikan kata pembuka seperti “Hi Security Team” atau “Dear Admin” untuk pembuka,
Kedua kita bisa memperkenalkan diri kita bila perlu seperti :
“Pertama perkenalkan nama saya (Nama) , saya seorang bug hunter / security research, baru baru ini saya sedang melakukan security penetration testing di website (alamat web) dan menemukan beberapa kerentanan di antaranya bug Sql Injection”
Ketiga jelaskan deskripsi bug yang kita temukan dan effek bug secara singkat, jelas, padat, contoh nya kita menemukan bug sql injection:
“Sql Injection adalah sebuah teknik serangan injeksi code saya bisa memasukan query sql ke dalam parameter ?id= impactnya saya bisa menginputkan data, mengambil / dump data dari database, dan bahkan masuk kedalam server milik (nama web)”
keempat jelaskan step reproduc bug atau POC (Proof of Concept)
“Url yang rentan https://target.com/?id=1 sekilas tidak ada error atau kerentanan disana, tapi saat saya memasukan ‘ (string / single quote) di akhiran parameter error sql muncul contoh https://target.com/?id=1’ selanjutnya kita bisa langsung memasukan query sql kedalam parameter ?id= tersebut”
kelima kita bisa memberikan note atau refrensi di akhiran POC
“note : maaf sebelum nya apa website (nama web) memberikan reward kepada bug hunter / penemu bug? bila iya saya masih ada bug yang lain untuk saya laporkan”
Attachment kita harus memberikan screenshot atau video bukti saat kerentanan di eksekusi, seperti pesan error atau video saat scanning dll yang berhubungan dengan bug yang kita report agar developer lebih paham dan mengerti dengan POC yang kita kirim.
File PDF/DOCX
Adapun bila kalian ingin terlihat profesional kita bisa mengirim laporan via file PDF/DOCX contoh nya template laporan yang di buat tokopedia
dari template tokopedia tersebut teman teman tinggal merubah logo tokopedia dengan logo website terget kita, untuk step selanjutnya masih sama seperti step Body Email yang saya jelaskan di atas tadi. ingat walaupun kita memakai template PDF/DOCX ini jangan sampe subject dan body email kita kosong, kita bisa memperkenalkan diri dan tujuan kita baru di ikuti file PDF/DOCX ini.
Inti nya perhatikan etika kita dan attitude saat kita melakukan reporting dan membalas email, kita juga harus sabar dan harus terima bila admin/dev website tersebut hanya mengucapkan terima kasih atau tidak memberikan reward, karna memang kalo kita mengharapkan imbalan saya sarankan untuk bermain di platform bug bounty seperti HackerOne, BugCrowd, redstrom, cyberarmy dan masih banyak lagi.
oke mungkin segitu saja sharing tentang cara reporting bug ke perusahaan yang tidak mengadakan program bug bounty tapi saya berharap cara reporting bug ini bisa teman teman gunakan saat reporting ke perusahaan tempat kalian bekerja juga.
Semoga Bermanfaat :D
linkedin : https://www.linkedin.com/in/anggi-gunawan17/
Website : https://kitabantu.co.id
