Breachly
INIT
Cybersecurity, dari konsep ke praktik
Platform belajar cybersecurity yang menggabungkan materi ringkas dan lab terisolasi. Baca konsepnya, ikuti alur serangan, lalu praktik dengan level Easy → Secure — tanpa merusak sistem di dunia nyata.
Cara belajar di Breachly
Tiga langkah sederhana — dari paham konsep sampai praktik aman.
Pahami konsep dulu — definisi, analogi, cara kerja, risiko, dan cara bertahan.
Lanjut →Lihat 7 tahap dari recon sampai exfiltration, lengkap dengan tools-nya.
Lanjut →Coba di lab terisolasi. Atur level Easy → Secure sesuai kemampuanmu.
Lanjut →01 — Materi belajar
Mulai dari materi: 37 topik ringkas tentang tahapan serangan, domain keamanan, dan CTF — ditulis biar pemula bisa ikut.
02 — Visualisasi konsep
7 tahap dari recon sampai exfiltration — klik step untuk lihat tools dan command-nya.
RECON network-recon
Kumpulkan info target secara pasif/aktif
Tools · Whois, theHarvester, Shodan, Google Dorks
nmap -sV -Pn 10.10.1.42
03 — Lab preview
Preview lab Brute Force Login — pilih level Easy → Secure, lalu jalankan simulasi di terminal.
Serang form login dengan Hydra atau Burp Intruder. Level Easy tanpa rate limit; Secure mengaktifkan lockout.
Tools · MFA, SSO, Hydra (lab), password managers
AvailableCoba password umum. Rate limit OFF.
Simulasi di browser. Lab Docker nyata butuh start dari portal setelah login.
04 — Modul praktik
51 lab siap dijelajahi. Mulai dari yang Available, naikkan kesulitan Easy → Secure.
Serang form login dengan Hydra atau Burp Intruder. Level Easy tanpa rate limit; Secure mengaktifkan lockout.
Uji API: BOLA, mass assignment, dan authn/authz gap pada endpoint latihan.
Latihan pelaporan bug bounty: severity, PoC etis, dan template laporan yang jelas.
Amankan pipeline CI: secret scanning, SAST gate, dan supply-chain check dependency.
Pahami CSRF: state-changing request tanpa token, SameSite cookies, dan mitigasi modern.
Challenge forensics: file carving mindset, strings, metadata, dan rekonstruksi bukti.
Challenge misc: encoding, stego ringan, dan puzzle logic untuk warming up CTF.
Challenge OSINT: correlasi artefak publik (simulasi) tanpa keluar dari lab etis.
Challenge pwn ringan: buffer concept, checksec, dan key check tanpa crash host.
Challenge reverse: strings, control flow sederhana, dan ekstrak flag dari logic.
Temukan misconfig cloud (storage publik, IAM longgar, secret di metadata) lalu harden.
Bandingkan jejak sebelum/sesudah anti-forensics ringan; latih deteksi log tamper.
Triage artefak forensik: timeline, log, memory hint, dan bangun narasi insiden singkat.
Simulasikan exfil data dummy vs kontrol DLP/DNS tunneling awareness di lab tertutup.
Deteksi dependency risk: package typosquat, lockfile integrity, dan SBOM singkat.
Temukan path tersembunyi dengan Gobuster atau Dirb.
Eksplor trust hardware: secure boot concept, side-channel awareness, firmware strings.
Audit device IoT/OT simulasi: default creds, firmware strings, dan segmentasi jaringan.
Eksploit kelemahan JWT: alg=none, weak secret, dan claim tampering pada API demo.
Kuasai shell Linux untuk offensive work: navigasi, permission, process, dan piping.
Triage log auth/web: spot brute force, pivot IP, dan tulis timeline singkat.
Analisis sampel dummy di sandbox: static (strings/hash) lalu dynamic behaviour ringkas.
Analisis APK/IPA latihan: permission berlebih, storage tidak terenkripsi, dan deep-link risk.
Pindai host target dengan Nmap dan petakan service yang terbuka.
Amankan segmentasi jaringan: firewall rules, ACL, dan deteksi traffic anomali di lab terisolasi.
Baca traffic capture: filter protocol, temukan kredensial/cleartext, dan IOC jaringan.
Bandingkan crypto klasik vs PQC: kapan migrasi, hybrid TLS, dan inventory crypto.
Crack hash dengan John the Ripper atau Hashcat.
Pasang & deteksi persistence: cron, service, web shell dummy — lalu bersihkan.
Kenali pola phishing/pretexting, susun laporan awareness, dan uji kontrol human layer.
Walkthrough kontrol fisik: tailgating, badge cloning awareness, dan defense in depth.
Naikkan hak dari user terbatas ke admin: sudo misconfig, SUID, dan kernel hint.
Uji prompt injection & data poison pada model demo; catat mitigasi input filter.
Drill purple team: serangan terukur vs deteksi, bandingkan gap visibility.
Susun risk register mini, pilih kontrol, dan petakan ke kebijakan (ISO/NIST light).
SQLi lebih dalam: union, blind boolean, dan error-based pada app demo terisolasi.
Eksploit Server-Side Request Forgery: fetch internal URL, cloud metadata mindset, filter bypass ringan.
Audit smart contract sederhana: reentrancy mindset, access control, dan flag di logic bug.
Petakan IOC ke ATT&CK, correlasi tip intel, dan buat laporan actionable singkat.
Eksploitasi injection pada aplikasi web latihan dengan Burp Suite.
Recon wireless simulasi: SSID weak, evil twin awareness, dan praktik enkripsi WPA.
Reflected XSS end-to-end: temukan sink, craft payload, dan pahami encoding defense.
Terapkan akses zero trust: identity-first, least privilege, dan continuous verification.
Gelombang tantangan web: recon, injection, path, cookie, dan artefak source.
Encoding, hash lemah, XOR, dan teka-teki kriptografi ringan sampai menengah.
Simulasi overflow, key check, dan konsep binary ringan.
Hex dump, strings, metadata, dan artefak bukti digital.
Quiz, path pivot, OSINT ringan, dan puzzle campuran.
Teka-teki reverse ringan: string, key check, dan logic binary.
Recon network, port logic, dan artefak traffic sederhana.
Misconfig cloud, secret di CI, dan IAM quiz.
Tidak ada skenario untuk filter ini.
05 — Peringkat
Submit flag di CTF, kumpulkan poin, naik peringkat — daftar penuh di halaman terpisah.
Breachly
Siap mulai belajar? Baca materi, ikuti alur serangan, lalu praktik di lab terisolasi. Gratis untuk siapa saja yang ingin paham cybersecurity secara hands-on.