Bayangkan ini: kamu baru saja membuat akun di platform bug bounty, memilih satu program, dan berharap dalam hitungan jam menemukan bug kritis yang bisa membuatmu mendapatkan hadiah puluhan juta rupiah. Itu ekspektasinya. Realitanya? Ceritanya sangat berbeda.
Bug hunting adalah jalur karier yang sedang naik daun di Indonesia — terutama sejak makin banyak perusahaan teknologi membuka program bug bounty publik. Tapi ada jurang lebar antara apa yang dibayangkan pemula dan apa yang sebenarnya terjadi di hari pertama. Artikel ini akan membedah ekspektasi vs realita menjadi bug hunter, lengkap dengan tips dari praktisi yang sudah bertahun-tahun berkecimpung di dunia bug bounty.
Apa Itu Bug Hunting dan Bug Bounty?
Bug hunting adalah aktivitas mencari celah keamanan (vulnerability) di aplikasi, website, atau sistem milik perusahaan. Sementara bug bounty adalah program berbayar yang diselenggarakan perusahaan — di mana mereka membayar siapa pun yang berhasil menemukan dan melaporkan bug secara bertanggung jawab.
Platform besar seperti HackerOne, Bugcrowd, dan Intigriti menghubungkan ribuan bug hunter dengan ratusan perusahaan setiap harinya. Di Indonesia sendiri, beberapa perusahaan seperti Tokopedia, Gojek, dan Bukalapak juga pernah atau masih menjalankan program bug bounty — baik secara publik maupun privat.
Menurut Dimas Prasetyo, seorang pentester lepas yang telah menemukan lebih dari 50 valid bug di berbagai platform bug bounty sejak 2020, “Banyak orang terjun ke bug hunting karena melihat angka-angka bounty besar. Tapi mereka tidak siap dengan kenyataan bahwa untuk mendapatkan bounty Rp50 juta, kamu mungkin harus menghabiskan 3 bulan pertama tanpa menemukan satu bug pun yang valid.”
Ekspektasi vs Realita: 5 Hal yang Berbeda Jauh
1. Ekspektasi: Langsung Menemukan Bug Kritis
Ekspektasi paling umum: buka aplikasi target, jalanin scanner, dan boom — ada bug critical yang bisa diexploitasi. Gambaran ini sering muncul dari cerita viral di media sosial tentang seseorang yang mendapatkan bounty Rp500 juta hanya dalam 2 jam.
Realita: Di hari pertama, kamu bahkan belum tentu memahami scope dan aturan program. Bug hunter profesional menghabiskan 60-80% waktunya untuk reconnaissance: memahami arsitektur aplikasi, memetakan endpoint, membaca dokumentasi API, dan mengidentifikasi teknologi yang digunakan. Fase ini bisa memakan waktu 2-4 jam bahkan untuk aplikasi sederhana.
Dimas menambahkan, “Waktu pertama kali saya ikut bug bounty di HackerOne tahun 2020, saya habiskan 5 jam pertama hanya untuk baca dokumentasi program dan ngecek subdomain. Nggak ada satupun bug yang saya temukan di hari itu. Tapi reconnaissance yang matang itu justru jadi fondasi semua temuan saya di minggu-minggu berikutnya.”
2. Ekspektasi: Tools Otomatis Akan Menemukan Semuanya
Banyak pemula berpikir bahwa menjalankan Burp Suite, Nuclei, atau SQLMap secara otomatis akan membanjiri mereka dengan temuan valid. Di film-film, hacker tinggal ketik beberapa perintah dan layar langsung penuh dengan data sensitif.
Realita: Automated scanner hanya menemukan low-hanging fruit — bug-bug permukaan yang kemungkinan besar sudah ditemukan oleh bug hunter lain (dan sudah difix). Tools otomatis menghasilkan banyak false positive yang harus kamu verifikasi secara manual. Bug bernilai tinggi seperti business logic error, IDOR kompleks, atau chained vulnerability hampir selalu ditemukan melalui manual testing yang kreatif.
Tools seperti Burp Suite adalah alat bantu — bukan pengganti naluri dan kreativitas bug hunter. Di hari pertama, kamu akan belajar bahwa kemampuan tools hanya 20% dari pekerjaan; 80% sisanya adalah cara berpikir out-of-the-box tentang bagaimana aplikasi bisa disalahgunakan.
3. Ekspektasi: Langsung Dapat Bayaran Besar
Angka-angka bounty yang beredar di internet bisa sangat menggoda: $50.000 untuk RCE, $10.000 untuk SQL injection, atau bahkan $100.000 untuk bug di program khusus. Wajar kalau pemula berpikir uang akan langsung mengalir.
Realita: Banyak bug hunter profesional tidak menghasilkan uang sama sekali di 3-6 bulan pertama. Sebagian bug pertama yang kamu temukan kemungkinan besar adalah:
- Duplicate: bug yang sudah dilaporkan oleh hunter lain
- N/A (Not Applicable): temuan yang di luar scope program
- Informative: diakui sebagai bug tapi tidak cukup berdampak untuk dapat bounty
- Won’t Fix: perusahaan memutuskan tidak memperbaiki
Dimas mengungkapkan, “Laporan valid pertama saya Cuma dibayar $150. Itu setelah 4 bulan hunting part-time. Dan itu normal. Bug hunter yang konsisten menghasilkan pendapatan penuh biasanya sudah melewati 1-2 tahun fase pembelajaran.”
4. Ekspektasi: Kerja Sendiri, Bebas, Fleksibel
Banyak yang tertarik bug hunting karena iming-iming kerja remote, jam kerja fleksibel, dan tidak ada bos. Kedengarannya seperti pekerjaan impian.
Realita: Meskipun benar bahwa bug hunting menawarkan fleksibilitas tinggi, realitanya kamu akan sering merasa kesepian dan frustrasi. Tidak ada rekan kerja untuk brainstorming, tidak ada mentor yang langsung memberi arahan, dan tidak ada gaji tetap di awal bulan. Discipline diri menjadi faktor penentu — banyak yang menyerah bukan karena tidak mampu, tapi karena tidak tahan dengan ketidakpastian.
Bug hunter sukses biasanya aktif di komunitas: Discord grup, forum HackerOne, grup Telegram bug hunter Indonesia, atau komunitas lokal. Mereka tidak benar-benar bekerja sendiri — mereka membangun network.
5. Ekspektasi: Bug Itu Seperti yang Diajarkan di TryHackMe/CTF
Latihan di platform seperti TryHackMe, HackTheBox, atau PortSwigger Academy memberi kesan bahwa setiap aplikasi punya vulnerability yang jelas, tersembunyi di tempat yang terstruktur, dan bisa dipecahkan dalam 30-60 menit.
Realita: Aplikasi production itu berantakan. Bug di dunia nyata sering kali tidak rapi seperti lab. Kamu akan menemukan:
- Aplikasi yang dibangun di atas kode legacy berumur 10 tahun
- Dokumentasi API yang tidak lengkap
- Rate limiting yang agresif (membuat scanning lambat)
- WAF (Web Application Firewall) yang memblokir payload standarmu
- Bug yang hanya bisa direproduksi di kondisi spesifik
Di hari pertama, kamu akan menyadari bahwa CTF mengajarkan teknik — tapi bug bounty mengajarkan kesabaran, kegigihan, dan adaptasi.
Workflow Hari Pertama Seorang Bug Hunter (Step-by-Step)
Supaya lebih konkret, berikut adalah gambaran nyata apa yang seharusnya kamu lakukan di hari pertamamu sebagai bug hunter:
Step 1: Pilih Program dengan Bijak (30-60 menit)
Jangan asal pilih program dengan bounty tertinggi. Untuk pemula, pilih program dengan karakteristik:
- Scope luas: banyak subdomain dan fitur untuk dieksplorasi
- Response time cepat: tim security yang aktif merespons laporan
- Bounty untuk low-severity: beberapa program hanya membayar bug medium ke atas; cari yang juga membayar low-severity
- Reputasi baik di komunitas: baca review dari bug hunter lain
Step 2: Baca Semua Dokumentasi Program (30 menit)
Ini langkah yang paling sering dilewatkan pemula. Baca dengan teliti:
- Scope: domain, subdomain, API endpoint mana yang boleh di-test
- Out of scope: apa yang TIDAK BOLEH kamu sentuh (melanggar = banned)
- Reward table: berapa bounty untuk setiap level severity
- Rules of engagement: batasan teknis (misalnya, tidak boleh brute force, tidak boleh DoS)
Step 3: Reconnaissance (2-4 jam)
Ini adalah fase terpenting. Gunakan tools untuk memetakan permukaan target:
- Subdomain enumeration: Amass, Subfinder, Assetfinder
- Port scanning: Nmap untuk melihat service apa yang berjalan
- Technology fingerprinting: Wappalyzer, WhatWeb
- Directory fuzzing: FFUF, Dirsearch (hati-hati dengan rate limit)
- Parameter discovery: Katana, ParamSpider, WaybackURLs
Step 4: Mulai Manual Testing (sisa waktu)
Setelah paham lanskap aplikasi, mulai eksplorasi fitur satu per satu. Cek setiap input field, setiap endpoint API, setiap form. Fokus ke area yang paling mungkin memiliki bug:
- Form login dan registrasi (authentication bypass, weak password policy)
- Fitur upload file (unrestricted file upload)
- Endpoint yang mengembalikan data user lain (IDOR)
- Parameter yang direfleksikan di halaman (XSS)
- Fitur search dan filter (SQL injection)
Step 5: Dokumentasi Temuan (30-60 menit)
Catat SEMUA yang kamu temukan — bahkan yang belum jelas. Gunakan template seperti:
- Endpoint URL
- Request yang dikirim
- Response yang diterima
- Kenapa ini menarik
- Screenshot / PoC
Kebiasaan mendokumentasikan dari hari pertama akan sangat membantu ketika nanti kamu harus menulis laporan bug yang profesional.
Tips Memulai Bug Hunting dari Nol
Berdasarkan pengalaman para praktisi, berikut adalah peta jalan realistis untuk bug hunter pemula:
- Kuasai fundamental web security. Pahami OWASP Top 10, cara kerja HTTP, dan bagaimana browser berinteraksi dengan server.
- Latihan di platform CTF. PortSwigger Web Security Academy (gratis) adalah tempat terbaik untuk belajar. Selesaikan semua lab mereka sebelum terjun ke bounty sungguhan.
- Ikuti program VDP (Vulnerability Disclosure Program). Beberapa perusahaan tidak membayar bounty tapi menerima laporan bug — ini tempat latihan sempurna tanpa tekanan reward.
- Mulai dari target yang kurang populer. Program dengan banyak hunter (seperti Yahoo, Google, Facebook) sangat kompetitif. Cari program yang baru dibuka atau kurang dikenal.
- Spesialisasi di satu jenis bug. Daripada mencoba semua jenis vulnerability, fokus dulu di satu area (misalnya IDOR atau XSS) sampai kamu benar-benar menguasainya.
- Gabung komunitas. Bug hunter Indonesia cukup aktif di Twitter dan Telegram. Belajar dari laporan publik yang di-disclose oleh hunter lain di HackerOne Hacktivity.
Kesimpulan
Hari pertama sebagai bug hunter mungkin akan terasa membingungkan, melelahkan, dan sedikit mengecewakan — dan itu normal. Tidak ada yang langsung menghasilkan bounty di hari pertama. Tapi setiap jam yang kamu habiskan untuk reconnaissance, setiap laporan yang kamu tulis, dan setiap kegagalan yang kamu alami adalah investasi yang akan membuahkan hasil dalam jangka panjang.
Seperti kata Dimas Prasetyo, “Bug hunting bukan sprint, tapi marathon. Yang membedakan hunter sukses dari yang gagal bukanlah bakat atau tools, melainkan konsistensi dan kemauan untuk belajar dari setiap laporan yang ditolak.”
Jika kamu serius ingin membangun karier di dunia cyber security — baik sebagai bug hunter, pentester, atau security engineer — kuncinya adalah konsistensi belajar. Jangan menunggu sampai merasa “siap”, karena di dunia ini, kamu belajar sambil melakukan.