Pendahuluan : Tools Bisa Dipelajari, Tapi Rasa Ingin Tahu Harus Dihidupkan
Ada satu hal yang sering saya lihat di dunia bug bounty dan pentesting: terlalu banyak orang sibuk mempelajari tools, tapi lupa mempelajari rasa ingin tahu.
Mereka menghafal payload, meniru workflow orang lain, menyalin template laporan tapi begitu sebuah bug tak muncul dari hasil scan, semangatnya langsung hilang.
Padahal, rasa ingin tahu adalah bahan bakar utama seorang pentester sejati.
Tools hanyalah alat bantu. Scanner tidak bisa merasa “aneh”, tetapi manusia bisa.
Itulah yang membedakan antara “yang ngaku pentester” dan “real pentester”.
Hunting bukan sekadar pekerjaan mencari celah itu sebuah kerajinan (craft).
Sama seperti pengrajin logam yang mengasah pedangnya, seorang pentester juga menempa instingnya dari rasa ingin tahu yang tak pernah padam.
1. Pentesting sebagai Sebuah Kerajinan (Craftsmanship Mindset)
Menjadi pentester tidak hanya tentang teknik, tapi tentang cara pandang terhadap sistem.
Ada keindahan tersendiri ketika kita memahami bagaimana sebuah aplikasi berjalan.
Sama seperti pemahat kayu mengenali serat kayunya, seorang pentester juga belajar mengenali pola logika aplikasi mana yang normal, mana yang menyimpang.
Setiap hunter punya gaya dan stylenya sendiri:
- Ada yang metodikal : menganalisis alur, memahami arsitektur, memeriksa log satu per satu.
- Ada yang instingtif : cukup melihat satu header atau parameter aneh, langsung terpicu rasa ingin tahunya.
Saya sering bilang, hunting adalah gabungan antara seni dan sains.
Sains mengajarkan kita tentang struktur dan metodologi.
Seni mengajarkan kita untuk mendengar intuisi suara kecil yang bilang,
“Kayaknya endpoint ini nggak seharusnya ngasih respons begini…”
Dan justru dari suara kecil itu, banyak bug besar ditemukan.
2. The Curiosity Loop : Siklus Ingin Tahu Seorang Hunter
Rasa ingin tahu bukan datang begitu saja. Ia terbentuk dari proses berulang:
melihat sesuatu yang janggal → bertanya → mencoba → gagal → belajar → penasaran lagi.
Saya menyebutnya “The Curiosity Loop” lingkaran tak berujung yang menghidupkan semangat seorang hunter.
Tahap 1: Melihat Hal yang Aneh
Semuanya dimulai dari pengamatan kecil.
Satu parameter yang selalu muncul meski kosong.
Satu response header yang menampilkan sesuatu yang tidak wajar.
Atau sebuah domain yang “menolak koneksi” padahal masih aktif di DNS.
Di titik itu, sebagian orang menganggapnya bug kecil.
Seorang hunter sejati menganggapnya sebuah clue penting.
Tahap 2: Bertanya “Kenapa Bisa Begitu?”
Pertanyaan sederhana, tapi ini momen paling penting.
“Kenapa endpoint ini bisa diakses tanpa autentikasi?”
“Kenapa OTP bisa dikirim berkali-kali hanya dengan ganti nomor?”
“Kenapa subdomain ini masih resolve tapi service-nya udah mati?”
Pertanyaan ini yang membedakan researcher dari pengguna tools.
Tahap 3: Eksperimen dan Kegagalan
Lalu datang tahap paling manusiawi: gagal berulang kali.
Payload ditolak, 403 muncul, atau request malah crash.
Tapi hunter sejati tidak berhenti di situ justru di sanalah proses eksplorasi sebenarnya dimulai.
Kadang, satu parameter yang diabaikan orang lain justru membuka gerbang menuju logic flaw yang bersifat kritikal.
Tahap 4: Insight dan Pemahaman
Dari kegagalan itu lahirlah pemahaman baru.
Kamu mulai memahami bagaimana sistem berjalan, bagaimana developer menulis logika.
Dan begitu kamu “klik” dengan alur sistem itu, semua bug terasa seperti puzzle yang akhirnya lengkap.
Tahap 5: Penasaran Lagi
Siklusnya kembali ke awal.
Karena begitu kamu menemukan satu bug, muncul rasa ingin tahu:
“Kalau di endpoint ini rentan, apakah di modul lain juga begitu?”
Dan begitulah loop itu terus berputar bukan karena uang, bukan karena badge, tapi karena dorongan alami untuk tahu lebih dalam.
3. Antara Insting dan Metodologi
Dalam dunia pentesting, keseimbangan antara insting dan metodologi adalah kunci.
Insting membuatmu cepat bereaksi terhadap keanehan.
Metodologi memastikan langkahmu bisa diulang dan dipertanggungjawabkan.
Saya pernah menemukan celah kecil bukan dari error atau alert, melainkan dari pola rate-limit yang aneh pada flow OTP sebuah layanan pembayaran. Saat mengirim permintaan OTP berulang ke satu nomor, sistem membatasi setelah sekitar 16 kali (respons berubah jadi 400), tapi ketika saya mengganti nilai phone_number ke nomor lain, batasan itu ter-reset dan permintaan 16 kali itu bisa diulang lagi. Pola ini menunjukkan bahwa mekanisme pembatasan dibuat per-nomor klien dengan logika yang mudah diprediksi bukan berbasis akun atau sesi sehingga attacker bisa memutar ulang permintaan dengan mengganti parameter. Dari pola kecil itulah muncul celah yang lebih besar ketika digabungkan dengan logika pendaftaran dan validasi sesi.
Sebaliknya, ada juga waktu di mana insting saya keliru.
Dan di situlah pentingnya metodologi framework seperti OWASP, MASTG, PTES menjadi panduan agar eksplorasi kita tetap sistematis dan terukur.
Insting tanpa metodologi menghasilkan kekacauan.
Tapi metodologi tanpa insting hanya menghasilkan laporan template.
4. Belajar dari Kegagalan
Kegagalan adalah guru yang paling jujur.
Setiap hunter yang bertahan lama di dunia ini pasti punya tumpukan false positive, laporan ditolak triager, atau target yang tidak memberi balasan sama sekali.
Tapi di situlah craftsmanship terbentuk.
Kamu belajar membedakan mana bug yang benar-benar valid, mana hanya anomali semu.
Kamu belajar membaca sistem, bukan hanya respons HTTP.
Saya masih ingat ketika pertama kali melakukan riset Subdomain Takeover bersama tim Tegalsec.
Ratusan SaaS vendor diuji, sebagian besar not vulnerable.
Tapi justru dari ratusan hasil “tidak rentan” itu, kami menemukan pola bahwa misconfigured SaaS dengan custom domain punya karakteristik CNAME yang khas.
Dan pola itu yang akhirnya melahirkan temuan baru.
Jadi, jangan takut gagal.
Di balik setiap laporan “not applicable”, ada pengalaman yang membentuk nalurimu.
5. Habit Seorang Hunter
Ada perbedaan besar antara hunter yang baik dan hunter yang luar biasa: habit.
Kebiasaan kecil yang membentuk cara berpikir dan kecepatan intuisi.
Beberapa kebiasaan yang saya pelajari selama bertahun-tahun:
- Baca log, bukan hanya hasil scanner.
Scanner hanya memberitahu apa yang terlihat, tapi log memberitahu kenapa hal itu terjadi. - Bandingkan perilaku, bukan hanya status code.
Dua endpoint yang sama-sama mengembalikan200 OKbisa punya implikasi keamanan yang sangat berbeda. - Catat setiap anomali sekecil apapun.
Mungkin hari ini tidak relevan, tapi dua bulan lagi bisa jadi potongan puzzle yang kamu butuhkan. - Bangun lab sendiri.
Ciptakan lingkungan di mana kamu bebas bereksperimen tanpa batas.
Di sinilah kamu melatih kreativitas tanpa takut salah. - Pelihara rasa ingin tahu, bukan ego.
Kadang triager salah menilai. Kadang vendor tidak menghargai laporanmu. Tapi jangan biarkan itu mematikan keingintahuanmu.
Karena pada akhirnya, hunter sejati bukan yang paling cepat menemukan bug tetapi yang paling lama bertahan untuk memahami kenapa bug itu ada.
6. Filosofi “Sense of Brokenness”
Ada satu kemampuan penting yang jarang dibahas: kemampuan merasakan sesuatu yang rusak (sense of brokenness).
Ini adalah intuisi yang tumbuh setelah berulang kali berinteraksi dengan sistem, bug, dan logika developer.
Contoh sederhana:
- Kamu melihat halaman register, dan entah kenapa field “role_id” tidak disembunyikan.
- Kamu melihat form upload dengan response
403, tapi waktu diubah sedikit header-nya malah200. - Kamu melihat domain yang seolah “mati”, tapi SSL-nya masih aktif.
Semua itu tanda-tanda kerusakan yang hanya bisa dirasakan bukan hasil scan semata
Dan sense ini hanya muncul kalau kamu punya rasa ingin tahu yang terus diasah.
7. Hacking sebagai Seni Memahami Sistem
Saya sering bilang bahwa hacker sejati bukan orang yang menghancurkan sistem,
tapi yang paling memahami sistem melebihi pembuatnya sendiri.
Hacking bukan soal “bypass”, tapi soal memahami logika di balik batasan.
Bukan tentang “melanggar aturan”, tapi menemukan titik di mana aturan gagal menjaga dirinya sendiri.
Rasa ingin tahu adalah kompas moral seorang hacker.
Tanpa itu, kamu cuma jadi pemakai tools.
Tapi dengan itu, kamu bisa melihat dunia digital dengan cara yang lebih manusiawi penuh eksplorasi, empati terhadap sistem, dan tanggung jawab terhadap dampaknya.
8. Dunia yang Dipenuhi Otomasi, Tapi Kekurangan Kepekaan
Sekarang banyak orang bergantung pada scanner otomatis, AI recon tools, mass exploiter.
Tidak salah, tapi berbahaya kalau lupa satu hal: AI tidak punya rasa ingin tahu.
Model bisa memproses data, tapi tidak bisa penasaran.
Script bisa memindai ribuan endpoint, tapi tidak tahu kapan harus berhenti dan berpikir.
Di sinilah manusia tetap unggul.
Hunter sejati tahu kapan sesuatu terasa “off”.
Dia tahu kapan harus berhenti mengandalkan tools dan mulai merenung:
“Kalau aku jadi attacker sungguhan, langkah selanjutnya apa?”
Kepekaan semacam ini adalah hasil dari jam terbang, kegagalan, dan obsesi terhadap detail.
9. Craftsmanship, Ethics, and Legacy
Ketika hunting sudah menjadi craft, maka tanggung jawab moral ikut tumbuh.
Setiap bug yang kamu temukan punya konsekuensi.
Setiap POC yang kamu buat bisa jadi pelajaran atau senjata.
Itulah kenapa rasa ingin tahu harus selalu disertai dengan rasa hormat.
Rasa hormat terhadap data orang lain.
Rasa hormat terhadap waktu developer yang akan memperbaikinya.
Rasa hormat terhadap profesi yang kamu jalani.
Menjadi pentester bukan cuma soal eksploitasi, tapi juga soal kontribusi:
meningkatkan keamanan ekosistem, berbagi ilmu, dan menanamkan budaya berpikir kritis.
Seorang craftsman sejati ingin meninggalkan jejak, bukan luka.
10. Penutup : Stay Curious, Stay Ethical
Pada akhirnya, hunting bukan tentang berapa banyak bounty yang kamu dapat.
Bukan tentang siapa yang lebih cepat submit.
Tapi tentang bagaimana setiap proses membuatmu lebih tajam, lebih sabar, dan lebih peka terhadap sistem yang kamu sentuh.
“Kamu bisa kehilangan akses, kehilangan bounty, bahkan kehilangan reputasi.
Tapi jangan pernah kehilangan rasa ingin tahu.”
Rasa ingin tahu adalah api kecil yang menghidupkan setiap peneliti keamanan.
Ia menuntunmu melewati rasa frustasi, laporan ditolak, dan malam panjang tanpa hasil.
Dan saat kamu berhasil menemukan satu bug setelah seratus kali gagal, kamu akan sadar bukan hasilnya yang penting, tapi perjalanan berpikir yang kamu lalui.
Karena pada akhirnya, hunting bukan tentang bug yang kamu temukan,
tapi tentang versi dirimu yang tumbuh di setiap prosesnya.
“Exploring systems, questioning patterns, and never losing curiosity.”
