Home / Article List / Checklist teknis harian Bug Hunter untuk 90 hari pertama

Note

Checklist teknis harian Bug Hunter untuk 90 hari pertama

25 Feb 2026Khaidir Fahram

BULAN 1 — CORE EXPLOIT SKILL (Hari 1–30)

Target akhir: mampu eksploit SQLi, XSS, IDOR tanpa automation penuh.

Senin–Kamis (2–3 jam/hari)

  1. 20 menit — HTTP Deep Understanding

    • Analisa 1 request di Burp Suite

    • Ubah header (Origin, Referer, Cookie, Authorization)

    • Manipulasi method (GET → POST → PUT)

  2. 60 menit — Lab Practice
    Dari PortSwigger Web Security Academy:

    • Minggu 1: SQL Injection

    • Minggu 2: XSS

    • Minggu 3: Authentication flaw

    • Minggu 4: Access control / IDOR

  3. 30 menit — Manual Variation
    Ulangi exploit dengan:

    • Encoding berbeda

    • Bypass filter sederhana

    • Payload modifikasi

  4. 20 menit — Catatan Teknis
    Buat log:

    • Vulnerability type

    • Root cause

    • Exploit path

    • Mitigation

Sabtu

  • Install dan konfigurasi:

    • Nmap

  • Scan lab VM atau target latihan

  • Analisa open port dan service version

Minggu

  • Review 3 write-up valid di HackerOne

 

BULAN 2 — RECON & ATTACK SURFACE (Hari 31–60)

Target akhir: mampu memetakan attack surface lengkap.

Senin–Kamis

  1. 30 menit — Subdomain Enumeration
    Gunakan:

    • Subfinder

    • Amass

    Catat:

    • dev.

    • staging.

    • api.

    • admin.

  2. 45 menit — Endpoint Discovery
    Gunakan:

    • ffuf

    Fuzz:

    • /api/v1/

    • /internal/

    • /admin/

  3. 45 menit — Authorization Testing

    • Login sebagai user A

    • Ambil token

    • Akses resource user B

    • Ubah object ID

    • Uji horizontal & vertical privilege escalation

Sabtu

  • Mapping diagram attack surface (gambar sendiri)

Minggu

  • Latihan di:

    • Hack The Box

    • TryHackMe

 

BULAN 3 — REAL HUNTING EXECUTION (Hari 61–90)

Target akhir: kirim minimal 1 report valid.

Senin

  • Baca scope program di Bugcrowd atau HackerOne

Selasa–Kamis

Workflow hunting:

  1. Recon (subdomain + endpoint)

  2. Login flow analysis

  3. Role testing

  4. Parameter tampering

  5. Business logic abuse

Checklist setiap fitur:

□ Apakah object ID bisa diubah?
□ Apakah rate limit bisa dilewati?
□ Apakah role check hanya di frontend?
□ Apakah ada debug endpoint?
□ Apakah API return terlalu banyak data?

Sabtu

  • Dokumentasi laporan draft

Minggu

  • Refine PoC

  • Hitung impact realistis

 

METRIK KEMAJUAN YANG HARUS ANDA TRACK

Setiap minggu ukur:

  • Jumlah endpoint dianalisa

  • Jumlah parameter diuji

  • Jumlah authorization test dilakukan

  • Jumlah near-miss bug ditemukan

Jika dalam 30 hari Anda belum menemukan vulnerability di lab, berarti eksplorasi kurang dalam.

 

PRIORITAS dengan Laravel dan API:

Fokus pada:

  • IDOR di route model binding

  • Mass assignment

  • Policy bypass

  • Debug mode exposure

  • Multi-tenant data leakage

 

Categories
Portfolio
Programming
Note
Services
Dev Tools
Tags
Laravel Android Ubuntu Web Apps Portal Web Sekolah Linux VueJS PHP Mobile Apps AWS
Related Post
Fix Zima VM Web Console via Cloudflare Tunnel Using NGINX Stream (Port 5700)

07 Apr 2026

Mengakses Server SSH Melalui Cloudflare Tunnel dengan Port Forwarding PostgreSQL

09 Mar 2026

Memulai karir sebagai bug hunter (bug bounty hunter)

25 Feb 2026

Pengantar Sistem Basis Data

15 Oct 2025

Pengantar Cloud Computing

14 Oct 2025