Banyak instansi pemerintah dan organisasi memiliki tim CSIRT (Computer Security Incident Response Team) yang bertugas menangani insiden keamanan. Walaupun tidak semua memiliki program bug bounty berbayar, banyak CSIRT memberikan sertifikat apresiasi kepada security researcher yang melaporkan kerentanan.

Sertifikat ini sangat berguna untuk membangun reputasi, portofolio, dan kredibilitas sebagai bug hunter.

Apa Itu CSIRT?

CSIRT adalah tim yang bertanggung jawab untuk:

  • Menerima laporan kerentanan
  • Menangani insiden keamanan
  • Memperbaiki vulnerability
  • Berkoordinasi dengan researcher

Biasanya CSIRT dimiliki oleh:

  • Instansi pemerintah
  • Universitas
  • Perusahaan
  • Lembaga publik

Kenapa CSIRT Memberikan Sertifikat?

Sertifikat diberikan sebagai bentuk apresiasi karena researcher telah membantu meningkatkan keamanan sistem mereka.

Walaupun tidak selalu memberikan uang, sertifikat tetap bernilai tinggi karena:

  • Bukti kontribusi nyata
  • Menambah portofolio
  • Meningkatkan reputasi
  • Berguna untuk CV atau lamaran kerja

Langkah 1: Temukan Target yang Memiliki CSIRT

Cari website yang memiliki halaman seperti:

  • /security
  • /responsible-disclosure
  • /csirt
  • /vulnerability-disclosure

Atau Dorking dengan Query seperti:

site:csirt.*.*

Langkah 2: Temukan Vulnerability

Cari vulnerability seperti:

  • HTML Injection
  • IDOR
  • Information Disclosure
  • Open Redirect
  • Misconfiguration

Pastikan vulnerability valid dan dapat direproduksi.

Langkah 3: Buat Laporan yang Jelas

Laporan yang baik meningkatkan peluang mendapatkan sertifikat.

Contoh format laporan:

Subject: Responsible Disclosure - Vulnerability Report
Hello CSIRT Team, Saya ingin melaporkan kerentanan keamanan pada sistem Anda.

Detail: Lorem Ipsum
URL: https://target.go.id/page
Vulnerability: HTML Injection
Impact: Lorem ipsum
Steps to reproduce: Lorem ipsum

Saya bersedia membantu jika diperlukan. Terima kasih.

Langkah 4: Kirim ke Email CSIRT

Kirim laporan ke email CSIRT dan tunggu respon.

Biasanya respon dalam:

  • 1 hari
  • 3 hari
  • 1 minggu
  • Atau 1 Tahun😹

Langkah 5: Tunggu Perbaikan

Jika vulnerability valid, mereka akan:

  • Memperbaiki vulnerability
  • Mengucapkan terima kasih
  • Memberikan sertifikat apresiasi (Sesuai kebijakan masing-masing CSIRT)

Tips Agar Mendapat Sertifikat

  • Laporkan secara profesional
  • Jangan exploit berlebihan
  • Jelaskan impact dengan jelas
  • Bersikap sopan
  • Bantu proses validasi

Contoh Manfaat Sertifikat CSIRT

  • Portofolio bug hunting
  • Meningkatkan kredibilitas
  • Bukti pengalaman security
  • Dapat digunakan untuk melamar kerja

Kesimpulan

Melaporkan vulnerability ke CSIRT adalah cara yang baik untuk membantu meningkatkan keamanan dan mendapatkan sertifikat apresiasi.

Walaupun tidak selalu mendapatkan uang, sertifikat sangat berharga untuk membangun reputasi sebagai security researcher.

Ini juga bisa sebagai latihan untuk meningkatkan Skill kita di Real Case Bug Hunting.πŸ‘πŸΏ