Official Fathur

Bagaimana Cara Saya Menemukan Celah?

Salam kenal, saya fathur seorang bug hunter sekaligus penggemar cyber security dijember, saya ingin sharing bagaimana cara saya bisa menemukan celah atau bug valid dibeberapa situs swasta atau instansi milik pemerintah di indonesia.

sebelum kita masuk ke fase pembahasan, saya akan beritahu apa itu celah/bug dalam dunia cyber security.

Dalam dunia cyber security, celah atau bug adalah kelemahan pada sistem komputer, aplikasi, jaringan, atau konfigurasi yang dapat dimanfaatkan oleh pihak tidak bertanggung jawab untuk melakukan serangan. Celah ini bisa muncul karena kesalahan manusia, desain sistem yang kurang matang, atau kode program yang tidak aman.

Celah keamanan sangat berbahaya karena dapat membuka akses ilegal, pencurian data, pengambilalihan sistem, hingga kerusakan infrastruktur digital. Banyak kasus kebocoran data besar di dunia terjadi bukan karena sistemnya tidak canggih, tetapi karena ada satu celah kecil yang terlewat.

Penyebab Munculnya Celah Keamanan

Celah atau bug dapat muncul dari berbagai faktor, antara lain:
1. Kesalahan penulisan kode (coding error)
Programmer bisa saja lupa melakukan validasi input atau salah mengelola memori.
2. Konfigurasi sistem yang buruk
Misalnya password default tidak diganti, port terbuka tanpa pengamanan, atau hak akses berlebihan.
3. Software tidak diperbarui (outdated)
Versi lama sering mengandung celah yang sudah diketahui publik.
4. Kurangnya pengujian keamanan
Sistem langsung dipakai tanpa diuji dari sisi keamanan.
5. Human error
Kesalahan pengguna, seperti mengklik link phishing atau menggunakan password lemah.

Jenis-Jenis Celah Keamanan yang Umum

Beberapa celah yang sering ditemukan dalam cyber security antara lain:
• SQL Injection – Menyisipkan perintah SQL berbahaya melalui input.
• Cross-Site Scripting (XSS) – Menjalankan script berbahaya di browser korban.
• Authentication Bypass – Melewati sistem login.
• Privilege Escalation – Menaikkan hak akses secara ilegal.
• Buffer Overflow – Menimpa memori untuk menjalankan kode berbahaya.
• Misconfiguration – Kesalahan pengaturan server atau aplikasi.

Tahapan atau Cara Menemukan Celah Keamanan

Proses menemukan celah keamanan dikenal sebagai Vulnerability Assessment atau Penetration Testing (Pentest). Secara umum, tahapannya sebagai berikut:

  1. Information Gathering (Pengumpulan Informasi)

Tahap awal untuk mengumpulkan data tentang target, seperti:
• Domain dan IP address
• Struktur website
• Teknologi yang digunakan (server, framework, CMS)

Tujuannya adalah memahami sistem sebelum melakukan pengujian lebih lanjut.

  1. Scanning dan Enumeration

Pada tahap ini dilakukan pemindaian untuk:
• Menemukan port terbuka
• Mengetahui service yang berjalan
• Mengidentifikasi versi software

Scanning membantu menemukan potensi celah yang bisa dieksploitasi.

  1. Vulnerability Analysis

Data hasil scanning dianalisis untuk:
• Menentukan apakah ada bug atau celah
• Menghubungkan dengan database kerentanan yang sudah diketahui
• Menilai tingkat risiko (rendah, sedang, tinggi, kritis)

  1. Exploitation (Pengujian Celah)

Pada tahap ini dilakukan pengujian apakah celah benar-benar bisa dimanfaatkan.
Tujuannya bukan merusak, melainkan membuktikan risiko yang ada.

⚠️ Tahap ini hanya boleh dilakukan dengan izin resmi, karena tanpa izin termasuk tindakan ilegal.

  1. Post-Exploitation & Impact Analysis

Jika celah berhasil diuji, analis keamanan akan:
• Menilai dampak yang mungkin terjadi
• Mengukur seberapa jauh akses bisa diperoleh
• Menentukan potensi kerugian

  1. Reporting dan Rekomendasi

Tahap terakhir adalah membuat laporan yang berisi:
• Daftar celah yang ditemukan
• Tingkat keparahan
• Bukti pengujian
• Rekomendasi perbaikan

Laporan ini sangat penting untuk membantu tim developer dan administrator menutup celah tersebut.

Pentingnya Menemukan Celah Secara Etis

Menemukan bug bukan berarti menjadi peretas kriminal. Dalam cyber security dikenal istilah ethical hacker atau white hat, yaitu profesional yang mencari celah untuk melindungi sistem, bukan merusaknya.

Banyak perusahaan bahkan menyediakan bug bounty program, yaitu program resmi yang memberi imbalan kepada peneliti keamanan yang melaporkan celah secara bertanggung jawab.

Kesimpulan

Celah atau bug dalam dunia cyber security adalah kelemahan sistem yang bisa berakibat fatal jika tidak ditangani. Celah dapat muncul dari kesalahan kode, konfigurasi buruk, atau kelalaian manusia. Oleh karena itu, proses menemukan dan menutup celah secara sistematis dan etis sangat penting untuk menjaga keamanan data dan sistem digital.

Cyber security bukan hanya tentang teknologi, tetapi juga tentang kesadaran, disiplin, dan tanggung jawab.