Review Final Project: Analisis Challenge PicoCTF dengan Pendekatan Bug Bounty dan Pentest Report

Capture The Flag (CTF) merupakan salah satu metode pembelajaran yang banyak digunakan dalam dunia keamanan siber untuk melatih kemampuan analisis, eksploitasi, dan dokumentasi temuan keamanan. Pada final project ini, peserta menyusun laporan keamanan berdasarkan beberapa challenge dari platform PicoCTF dengan pendekatan yang menyerupai proses penetration testing dan bug bounty reporting.

Alih-alih hanya berfokus pada perolehan flag, proyek ini menekankan pentingnya proses identifikasi kerentanan, analisis akar masalah (root cause), penilaian dampak, serta penyusunan rekomendasi mitigasi yang relevan dengan kondisi dunia nyata.

Ruang Lingkup Pengujian

Laporan mencakup enam challenge dari kategori General Skills dan Web Exploitation. Masing-masing challenge merepresentasikan konsep keamanan yang umum ditemukan pada lingkungan produksi, mulai dari kesalahan konfigurasi layanan hingga kelemahan manajemen sesi aplikasi web.

Beberapa topik yang dibahas meliputi:

• SMB Share yang dapat diakses tanpa autentikasi

• OS Command Injection

• Konversi data ASCII dan encoding

• Rekonstruksi file ZIP yang dipecah menjadi beberapa bagian

• Insecure Session Management

• Misconfigured Sudoers dan privilege escalation

Pendekatan yang digunakan mengikuti tahapan dasar penetration testing seperti reconnaissance, enumerasi, validasi temuan, hingga penyusunan rekomendasi perbaikan.

Temuan Utama yang Dianalisis

Unauthenticated SMB Share Access

Challenge pertama memperlihatkan risiko konfigurasi SMB yang mengizinkan akses guest tanpa autentikasi. Melalui proses enumerasi menggunakan SMB client, file sensitif dapat ditemukan dan diakses tanpa kredensial.

Dalam lingkungan nyata, kondisi seperti ini dapat menyebabkan kebocoran dokumen internal, file sementara, maupun informasi yang seharusnya hanya tersedia bagi pengguna tertentu.

OS Command Injection

Salah satu temuan dengan dampak paling signifikan adalah command injection pada layanan yang menerima input alamat IP untuk menjalankan perintah ping.

Laporan menjelaskan bagaimana input yang tidak divalidasi dengan baik memungkinkan penyerang menambahkan perintah lain sehingga sistem menjalankan instruksi di luar fungsi yang seharusnya. Pada sistem produksi, kerentanan seperti ini dapat berkembang menjadi akses file sensitif hingga remote code execution.

Insecure Session Management

Challenge web exploitation menunjukkan bagaimana sesi pengguna yang tidak dikelola dengan baik dapat membuka peluang account takeover.

Melalui analisis cookie dan endpoint yang mengekspos token sesi, akses administratif dapat diperoleh tanpa mengetahui kredensial pengguna. Kasus ini menggambarkan pentingnya penerapan session expiration, session rotation, serta pengamanan cookie pada aplikasi web modern.

Misconfigured Sudoers

Challenge privilege escalation membahas kesalahan konfigurasi sudo yang memberikan akses terhadap aplikasi interaktif dengan hak root.

Walaupun pengguna tidak memiliki izin membaca file tertentu secara langsung, konfigurasi sudo yang terlalu longgar memungkinkan akses tidak sah terhadap file sensitif. Temuan ini menyoroti pentingnya prinsip least privilege dalam pengelolaan hak akses sistem Linux.

Challenge Berbasis Fundamental Keamanan

Selain kerentanan yang bersifat eksploitatif, proyek ini juga mencakup beberapa challenge yang berfokus pada pemahaman konsep dasar keamanan informasi.

ASCII Decimal Conversion

Challenge ini melatih pemahaman mengenai representasi karakter dalam bentuk ASCII decimal. Meskipun tidak berkaitan langsung dengan kerentanan keamanan, konsep ini penting dalam analisis data, reverse engineering, maupun investigasi forensik digital.

Split ZIP Reconstruction

Peserta juga melakukan rekonstruksi file ZIP yang dipecah menjadi beberapa bagian. Teknik seperti ini sering ditemukan dalam analisis artefak digital, pemulihan data, maupun investigasi insiden keamanan.

Dokumentasi dengan Format Pentest Report

Salah satu aspek menarik dari final project ini adalah penggunaan format laporan yang menyerupai penetration testing report profesional.

Setiap temuan didokumentasikan dengan struktur yang konsisten, meliputi:

• Severity level

• Deskripsi kerentanan

• Bukti dan langkah reproduksi

• Dampak terhadap sistem

• Root cause

• Rekomendasi perbaikan

Pendekatan ini membantu membangun kemampuan komunikasi teknis yang menjadi bagian penting dalam profesi cybersecurity, karena hasil pengujian perlu disampaikan secara jelas kepada pihak yang bertanggung jawab melakukan perbaikan.

Final project ini menunjukkan bagaimana challenge CTF dapat dimanfaatkan sebagai media pembelajaran untuk memahami berbagai konsep keamanan yang umum ditemukan pada sistem nyata. Melalui kombinasi proses enumerasi, eksploitasi, analisis dampak, dan penyusunan rekomendasi mitigasi, peserta tidak hanya berlatih menyelesaikan challenge, tetapi juga belajar menyusun dokumentasi keamanan yang terstruktur.

Materi yang dibahas mencakup beberapa area penting dalam keamanan siber, seperti keamanan jaringan, keamanan aplikasi web, manajemen sesi, kontrol akses, hingga privilege escalation. Pendekatan tersebut memberikan gambaran mengenai alur kerja yang sering digunakan dalam kegiatan security assessment maupun penetration testing.