Trending Now

Catatan Kertas

Mengabadikan pengetahuan dan pengalaman melalui tulisan

Search
Menu
Format Email Kirim Laporan Bug Hunter ke CSIRT, Lengkap Dengan Contoh
Bahaya Klik Link Sembarangan, Malware Bisa Menyusup Lewat Gambar dan Ambil Data Kalian Semua
Pengaruh Sifat Diam dan Tak Banyak Omong Terhadap Orang Lain
Pengalaman Saya Soal xmlrpc – Tools Bruteforce Login WordPress yang Masih Ganas
Belajar Ethical Hacking – Cara Menemukan XSS dan Contohnya untuk Pemula
Pengalaman Saya Belajar Ethical Hacking & Cybersecurity dari Nol Sampai Dapat 24 Sertifikat
Pengalaman Saya Pas PIN BNI Ke Blokir dan Cara Mudah Membukanya
Jangan Asal Pilih! Ini Rahasia Bahan Cat dan Clear Coat Biar Mobil Kinclong Maksimal
Eksperimen Cat Full Body Mobil Cuma Modal 600 Ribu? Begini Hasilnya Pakai Kompresor Lakoni!

Format Email Kirim Laporan Bug Hunter ke CSIRT, Lengkap Dengan Contoh

Tips Tutorial
admin

Format Email Kirim Laporan Bug Hunter ke CSIRT, Lengkap Dengan Contoh

Halo sobat, balik lagi nih. Kali ini saya mau berbagi format email laporan bug hunter ke CSIRT. Topik ini penting buat kalian yang suka nyari celah keamanan website atau baru mulai jadi bug hunter.

Saya kasih contoh nyata dari pengalaman saya sendiri ya. Jadi kalian bisa liat langsung gimana cara nulis laporan yang jelas, profesional, tapi tetap santai.

Yuk langsung aja.

Sebelum Kirim Laporan, Kenalan Dulu Sama CSIRT

Jadi gini sobat, CSIRT itu singkatan dari Computer Security Incident Response Team. Mereka semacam tim darurat keamanan siber di suatu instansi.

Setiap instansi pemerintah biasanya punya CSIRT. Tugas mereka salah satunya nerima laporan celah keamanan dari para bug hunter kayak kita.

Kalau kita temuin bug atau celah keamanan di website pemerintah, laporannya dikirim ke CSIRT mereka. Jangan asal lapor ke orang dalam yang gak jelas.

Hal Yang Harus Lo Siapin Sebelum Bikin Laporan

Sebelum mulai nulis email laporan, saya biasain siapin ini dulu sobat:

Nama lengkap. Biar mereka tahu siapa yang lapor.

Bukti validasi. Screenshot atau video saat lo berhasil exploit celah tersebut.

URL rentan. Alamat lengkap halaman yang ada celahnya.

Parameter rentan. Nama parameter yang bisa dieksploit.

Payload yang dipake. Kode atau skrip yang lo gunakan buat ngetes.

Deskripsi dampak. Jelasin kenapa celah ini berbahaya.

Tools yang dipake. Misal Burp Suite, OWASP ZAP, atau sekedar browser.

Tanggal dan waktu. Bisa dicantumin di bagian awal.

Siapin semua dulu di notes, biar pas nulis email gak bolak-balik nyari data.

Format Email Laporan Bug Hunter Yang Benar

Nah ini dia sobat. Saya kasih contoh format email laporan bug hunter yang pernah saya gunakan. Lo bisa modifikasi sesuai kebutuhan ya.

Kepada: csirt@kemenkumham.go.id (atau email CSIRT tujuan)

Subjek: [Laporan Keamanan] Celah XSS pada SIMPEG Kemenkumham – Janwar Arifin

Isi Email:

Kepada Tim CSIRT yang terhormat,

Selamat pagi.

Perkenalkan, nama saya Janwar Arifin. Saya seorang bug hunter independen yang aktif mencari celah keamanan di website pemerintah.

Dengan adanya email ini, saya ingin melaporkan celah keamanan yang saya temukan pada website: https://target.com/

Detail Celah Keamanan Yang Saya Temukan

Jenis kerentanan: XSS (Cross Site Scripting)

Penjelasan singkat soal XSS:
XSS merupakan salah satu jenis serangan injeksi kode (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut.

Dampak yang bisa terjadi:

  • Penyerang dapat mem-bypass keamanan di sisi klien
  • Mendapatkan informasi sensitif pengguna
  • Menyimpan aplikasi berbahaya di website korban

Bukti Validasi Kerentanan

Berikut adalah bukti validasi kerentanan yang saya temukan.

URL rentan:
https://target.com/

Parameter rentan:
tgla (parameter input tanggal pengisian jurnal harian)

Tools yang digunakan:
Burp Suite Professional

Langkah-Langkah Validasi

Pertama, saya mengakses halaman pengisian jurnal harian.

Kedua, saya mencoba submit jurnal harian biasa. Lalu saya mencegat pengiriman data ke server menggunakan Burp Suite.

Ketiga, saya menguji satu per satu semua parameter yang dikirim ke server. Saya mencoba mengubah nilai parameter dengan payload-payload XSS.

Keempat, pada parameter tgla, saya mencoba mengganti nilai tanggal dengan payload berikut:

text

<script>alert("HACKED YOUR WEBSITE")</script>

Kelima, setelah payload dikirim, server memproses permintaan tersebut. Ternyata website menjalankan perintah yang saya sisipkan dan menampilkannya ke layar.

Berikut adalah bukti screenshot yang saya lampirkan:

[Screenshot 1: Tampilan payload di Burp Suite]
[Screenshot 2: Tampilan alert setelah payload dieksekusi]
[Screenshot 3: Parameter tgla dengan payload XSS]

Analisis Dampak Kerentanan

Menurut saya, celah XSS ini cukup berbahaya. Kenapa?

Pertama, jika kode dapat tersimpan di database (Stored XSS), maka seluruh pengguna yang mengakses halaman tersebut akan terkena dampaknya.

Kedua, attacker bisa mencuri session cookie pengguna, termasuk cookie admin.

Ketiga, attacker bisa membuat skrip yang mengarahkan pengguna ke website phishing.

Keempat, celah ini bisa dimanfaatkan untuk menyebarkan malware ke pengguna lain.

Saran saya agar parameter tgla segera di-escape atau difilter sebelum ditampilkan kembali ke browser.

Rekomendasi Perbaikan

Dari temuan ini, saya rekomendasikan beberapa langkah perbaikan sobat:

Gunakan fungsi htmlspecialchars() di PHP buat meng-encode karakter berbahaya kayak <>"'.

Terapkan Content Security Policy (CSP). Buat batasi skrip mana yang boleh dijalanin di browser.

Validasi input di sisi server. Jangan cuma ngandalin validasi di client (JavaScript) soalnya gampang dilewatin.

Jangan tampilkan input user secara mentah. Selalu sanitasi sebelum ditampilkan.

Lakukan code review secara berkala. Biar celah kayak gini bisa ketahuan sebelum dibajak orang jahat.

Permohonan Saya Sebagai Bug Hunter

Saya harap laporan ini bisa bermanfaat buat tim CSIRT dalam meningkatkan keamanan website SIMPEG Kemenkumham.

Saya memohon beberapa hal:

Perkenan untuk tetap anonim atau mencantumkan nama saya sebagai penemu bug (terserah kebijakan tim).

Notifikasi setelah bug diperbaiki. Supaya saya bisa memverifikasi bahwa celah sudah ditambal dengan baik.

Apresiasi atau sertifikat jika ada program bug bounty atau apresiasi dari instansi.

Jika diperlukan informasi tambahan atau verifikasi lebih lanjut, saya siap membantu.

Terima kasih atas perhatian dan kerja samanya.

Hormat saya,

Janwar Arifin

  • Email: janwar@gmail.com
  • Telepon: 0812-xxxx-xxxx
  • Akun media sosial: 
  • Platform bug hunter: Bugcrowd / HackerOne (jika punya)

Lampiran

  • Screenshot 1: Tampilan Burp Suite saat mencegat request
  • Screenshot 2: Payload XSS di parameter tgla
  • Screenshot 3: Alert pop-up berhasil dieksekusi
  • Screenshot 4: Kode HTML sumber halaman (opsional)

Tips Tambahan Dari Saya

Dari pengalaman saya nge-lapor bug ke CSIRT, ini beberapa tips tambahan sobat:

Jangan pernah eksploit bug lebih dari yang diperlukan. Cukup buktiin celahnya ada, jangan sampe dipake buat hal yang merusak. Lo bisa kena masalah hukum.

Gunakan bahasa yang sopan dan jelas. CSIRT juga manusia biasa. Mereka bakal lebih menghargai laporan yang rapi dan gak asal-asalan.

Jangan minta uang di awal, kecuali emang ada program bug bounty yang jelas. Fokus dulu ke pelaporan dan perbaikan.

Jangan lupa baca aturan. Setiap instansi punya kebijakan berbeda soal bug hunting. Ada yang boleh, ada yang harus izin dulu.

Sabar dikit. Kadang CSIRT agak lama responnya. Bisa berminggu-minggu. Tapi jangan dikontak terus-terusan sampe nge-spam ya.

Hal Yang Gak Boleh Dilakukan Saat Nge-Lapor Bug

Saya mau kasih tau juga sobat. Beberapa hal gak boleh lo lakuin saat nge-lapor bug:

Jangan publikasi celah sebelum dikasih izin. Lo bisa dilaporin balik ke polisi soalnya.

Jangan edit atau hapus data website. Cukup buktiin celahnya ada tanpa merusak.

Jangan share bukti ke publik sebelum diperbaiki. Nanti celahnya bisa dieksploit orang jahat.

Jangan minta imbalan dengan nada mengancam. Kayak “kasih saya uang atau saya sebar bug ini.” Itu udah masuk pemerasan.

Contoh Subjek Email Yang Baik

Sobat, subjek email itu penting. Jangan asal tulis “Laporan Bug” doang. Ini contoh subjek yang jelas dan profesional:

  • [Laporan Keamanan] XSS - Janwar Arifin
  • Bug Report: Cross Site Scripting (XSS)
  • Laporan Celah Keamanan - Halaman Beranda - Parameter tgla
  • Vulnerability Report: Stored XSS on Journal Page - Janwar

Pilih salah satu. Yang penting subjeknya langsung kasih gambaran isi laporan.

Apa Yang Biasa Terjadi Setelah Kirim Laporan?

Dari pengalaman saya, setelah kirim laporan biasanya CSIRT bakal:

Membalas email dalam beberapa hari atau minggu. Mereka bakal konfirmasi terima atau minta data tambahan.

Meneruskan ke tim teknis buat divalidasi lagi. Mereka bakal cek apakah emang bener ada bug atau gak.

Memperbaiki celah setelah divalidasi. Proses ini bisa cepat atau lama tergantung kompleksitas bug.

Memberi notifikasi bahwa bug sudah diperbaiki. Di sini lo bisa cek ulang buat pastiin.

Memberi apresiasi atau sertifikat. Beberapa CSIRT kasih sertifikat, atau sekadar ucap terima kasih di email.

Memasukkan nama lo ke wall of fame (halaman penghargaan). Lumayan buat portofolio sobat.

Format Laporan Singkat Kalau Gak Mau Panjang

Sobat, kalau mau laporan yang lebih simpel dan gak terlalu panjang, ini format singkatnya:

Kepada: csirt@instansi.go.id

Subjek: Laporan Celah XSS – Janwar Arifin

Yth Tim CSIRT,

Saya menemukan celah XSS di https://target.com/ pada parameter tgla.

Payload: <script>alert("XSS")</script>

Setelah payload dikirim, muncul pop-up alert.

Screenshot terlampir.

Mohon segera ditindaklanjuti.

Terima kasih.

Janwar Arifin
janwar@gmail.com

Tapi saran saya tetep pake format panjang sobat. Biar keliatan profesional dan laporan lo diproses lebih serius.

Kesimpulan

Nah sobat, jadi format email laporan bug hunter ke CSIRT itu sebenernya gak sulit. Yang penting:

  • Jelas
  • Sopan
  • Ada bukti
  • Jelasin dampak
  • Kasih rekomendasi perbaikan

Lo gak perlu pake bahasa yang sok formal atau sok pinter. Yang penting isinya lengkap dan bisa dimengerti. CSIRT juga manusia biasa kok.

Dengan laporan yang baik, peluang celah lekas diperbaiki juga lebih besar. Dan lo bisa dapet apresiasi atau setidaknya nama harum di dunia per-bug-hunter-an.

Penutup

Itu dia panduan dan contoh format email laporan bug hunter ke CSIRT dari pengalaman saya.

Semoga artikel ini bermanfaat buat kalian yang baru mulai jadi bug hunter atau yang mau lapor celah tapi bingung gimana.

Kalau ada yang mau ditanyain soal format laporan atau dunia bug hunter, tulis aja di kolom komentar ya sobat. Saya bakal bantu jawab sebisa saya.

Terima kasih udah baca sampai akhir. Tetap semangat cari bug, tetap etis, dan sampai jumpa di artikel berikutnya.

Baca juga: Bahaya Klik Link Sembarangan, Malware Bisa Menyusup Lewat Gambar dan Ambil Data Kalian Semua

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Back To Top