Terimakasih digitalku karna menghargai Researcher
sebelum kita terjun ke teknis, kita harus paham siapa yang kita hadapi di balik layar. Berikut adalah rincian profil "lawan main" dalam proses pelaporan bug:
Mereka adalah filter pertama. Tugasnya hanya satu: Memastikan laporan kamu bukan sampah. Jika repro-mu kurang jelas, mereka tidak akan ragu memberi label "Informative" atau "N/A".
Orang yang benar-benar paham kode. Jika mereka bilang tidak bisa repro, artinya mereka butuh bukti video (PoC) yang lebih solid atau payload yang lebih presisi sesuai standar OWASP.
Level eksekutif yang memikirkan efisiensi. Seringkali berlindung di balik argumen "Protected by token" untuk menekan nilai temuan. Di sini, kamu harus adu argumen soal Business Impact.
Hanya muncul untuk isu kritikal. Mereka lebih mementingkan kerahasiaan dan solusi jangka panjang. Jalur privat dan NDA adalah wilayah mereka.
Garda depan publik yang paling sering melakukan "silent fix" atau menghapus komentar untuk menjaga reputasi brand. Gunakan mereka hanya sebagai alarm agar tim IT bangun.
| Jabatan | Peran | Gaya Nolak | Taktik |
|---|---|---|---|
| 1. Triage | Filter awal (Pihak ke-3). | "Duplicate / Out of Scope" | Langkah repro super detail. |
| 2. Engineer | Verifikasi teknis internal. | "Can't Reproduce / Expected" | Video PoC & OWASP. |
| 3. VP Eng | Bos Teknis & Budget. | "No Impact / Token" | Debat Business Impact. |
| 4. CISO | Pimpinan Tertinggi. | Jalur Privat / NDA. | Negosiasi Bounty profesional. |
| 5. Admin | Wajah Publik (Sosmed). | "Nanti disampaikan" / Hide. | Hanya pemicu tim IT. |
Halo semua, saya Ahmad Quidah mau berbagi kabar gembira. Baru saja saya berhasil menemukan celah keamanan (Vulnerability) di salah satu aset milik Tencent, raksasa teknologi pemilik WeChat dan PUBG.
Setelah melakukan riset mendalam dan analisis pada lalu lintas data mereka, saya menemukan bug yang cukup kritikal. Laporan tersebut telah dikirim dan diterima dengan baik oleh tim TSRC (Tencent Security Response Center) setelah melalui proses verifikasi yang ketat.
Berkat temuan ini, nama saya resmi masuk ke dalam daftar Hall of Fame mereka dengan status Freshman. Ini adalah pencapaian besar bagi saya sebagai Security Researcher independen. Terima kasih Tencent atas apresiasinya!
Stay safe and keep hunting! 🛡️🔥
Ahmad Quidah
XSS-GAME.APPSPOT.COM
Hallo World Beberapa hari terakhir saya memutuskan untuk "kembali ke sekolah" dengan menyelesaikan XSS Game by Google. Kenapa? Karena sebagai Security Researcher, memahami bagaimana sebuah kode bisa bocor (vulnerability) adalah kunci utama sebelum terjun ke target yang lebih besar.
Kenapa Harus Latihan di Sini?
Game ini didesain khusus oleh tim keamanan Google untuk mensimulasikan celah Cross-Site Scripting (XSS) yang nyata di dunia web. Di sini kita belajar:
Level 1-3: Dasar-dasar injeksi script sederhana.
Level 4: Cara melakukan breaking out dari fungsi JavaScript (seperti yang baru saja saya pecahkan tadi!).
Level 5-6: Eksploitasi lewat parameter URL dan file eksternal yang jauh lebih kompleks.
Mari Berdiskusi & Latihan Bareng!
Bagi teman-teman yang juga tertarik belajar cyber security atau sedang bingung memecahkan level tertentu, kalian boleh langsung bertanya atau berbagi payload latihan di kolom komentar blog ini!
Jangan takut gagal, karena setiap alert() yang muncul adalah tanda bahwa kita selangkah lebih dekat untuk mengamankan dunia siber
"Stay hungry, stay foolish, and keep hacking ethically!"
#cybersecurity #xss #bughunter #whitehack
