Hai, apa yang bisa kami bantu?

Contoh Topik: Konfirmasi Pembayaran, Pesanan Belum Sampai
  1. Pusat Bantuan
  2. Fitur Belanja
  3. Informasi Seputar Fitur Belanja di Jamtangan.com

Artikel dalam bagian ini

Pelaporan Bug

Kamu bisa berkontribusi untuk Machtwatch - Jamtangan.com. Kontribusinya berupa pelaporan bug pada tim kami jika kamu menemukan adanya bug pada platform online Machtwatch (di situs Jamtangan.com maupun aplikasinya). Setelahnya, laporanmu akan diverifikasi oleh tim developer Machtwatch - Jamtangan.com untuk kemudian dilakukan perbaikan.

 

Komitmen Machtwatch - Jamtangan.com untuk kamu yang mau melaporkan bug:

  • Machtwatch - Jamtangan.com akan menjaga informasi pengguna tetap aman dan terjaga. 
  • Machtwatch - Jamtangan.com akan mengapresiasi kontribusi kamu yang sudah melaporkan bug yang tentu sangat berharga bagi keamanan semua pengguna platform online Machtwatch - Jamtangan.com. Kami akan memberikan Voucher/MW Reward Point hingga Rp1.000.000 untuk setiap pelaporan bug yang kamu lakukan.

 

Apa saja yang bisa dilaporkan?
Bug pada platform online Machtwatch - Jamtangan.com di bawah ini:

  • www.jamtangan.com
  • iOS Application
  • Android Application

 

Apa saja jenis bug yang bisa dilaporkan?

  • SQL Injection
  • Cross-site Scripting (XSS)
  • Significant Authentication Bypass
  • Access Control Issues (Insecure Direct Object Reference issues, etc)
  • Cross-site Request Forgery in Critical Action
  • Information disclosure of Sensitive Information
  • Server-Side Request Forgery (SSRF)
  • Server-side Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Exposed Administrative Panels yang tidak memerlukan login credentials
  • Directory Traversal Issues
  • Local File Disclosure (LFD)
  • Server Side Template Injection (SSTI)

 

Lalu, apa saja jenis bug yang bukan termasuk bug bounty?

  • Self-XSS (kami membutuhkan bukti bagaimana XSS digunakan untuk menyerang user Machtwatch - Jamtangan.com).
  • Kami menerima laporan tentang XSS diluar Out of Scope Properties namun tidak memberikan hadiah/reward.
  • Problem XSS yang berdampak pada outdated browsers.
  • Laporan yang menyatakan bahwa software telah out of date/rentan.
  • Password, email dan kebijakan akun, seperti verifikasi email ID, reset link expiration, password complexity.
  • Tidak adanya security headers yang tidak berdampak langsung pada kerentanan.
  • Tidak adanya best practices (kami membutuhkan bukti mengenai keamanan kerentanan).
  • Host header injections kecuali jika kamu bisa memberi tahu bagaimana user data rentan untuk dicuri.
  • Laporan spam (seperti pengiriman email & SMS tanpa rate limits).
  • Stack traces yang mengungkapkan informasi.
  • Laporan mengenai spekulasi/skenario akan adanya damage. Mohon dijelaskan secara lebih konkret.
  • Kerentanan seperti yang dilaporkan oleh automated tools tentang bagaimana hal tersebut bisa menjadi problem di kemudian hari.
  • Laporan tentang insecure SSL/TLS ciphers (kecuali jika kamu memiliki bukti dan tak sekadar laporan dari scanner).
  • Laporan dari automated web vulnerability scanners (Acunetix, Vega, etc.) yang belum tervalidasi.
  • Social Engineering (Phishing, Fraud, dll).
  • Penolakan Service Attacks.
  • Reflected File Download (RFD).
  • Window opener (tabnabbing), dan problem terkait.
  • Physical or social engineering (termasuk serangan phishing terhadap karyawan Machtwatch-Jamtangan.com).
  • Masalah Content Injection.
  • Masalah seputar Brute Forcing 
  • Cross-site Request Forgery (CSRF) dengan minimal security implications (Logout CSRF, dll.)
  • Tidak adanya autocomplete attributes.
  • Risiko Phising lewat unicode/punycode atau masalah RTLO.
  • Bisa meng-upload files dengan extension yang salah di chooser.
  • Tidak adanya cookie flags pada non-security-sensitive cookies.
  • Masalah yang membutuhkan akses fisik pada komputer korban.
  • Tidak adanya security headers yang tak menunjukkan kerentanan secara langsung.
  • Secara spesifik tidak adanya HTTP security headers, Contoh: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP, Content-Security-Policy-Report-Only
  • Masalah Fraud/Penipuan.
  • Laporan SSL/TLS scan (atau output dari situs seperti SSL Labs).
  • Masalah Banner Grabbing (mencari tahu server web apa yang kami gunakan).
  • Membuka port tanpa bukti konsep yang menunjukkan kerentanan.
  • Kerentanan 0 hari. Kami perlu waktu untuk menambal sistem kami, tolong beri kami waktu 1 bulan sebelum melaporkan jenis masalah ini.

 

Cara Membuat Pelaporan
Contoh pembuatan laporan untuk mendapatkan bug bounty : 

  • Buat laporan melalui e-mail ke developer@jamtangan.com, dengan subjek berformat: [BUG BOUNTY] Judul Laporan. 
    Contoh: [BUG BOUNTY] XSS Vulnerability in Review Produk
  • Pada body email, tuliskan jenis celah keamanan yang kamu temukan, lalu tulis penjelasan PoC, yang bisa berbentuk langkah-langkah singkat yang disertakan gambar, dokumen PDF, atau video.
  • Kamu tinggal menunggu balasan dari kami. Kami berupaya melakukan balasan secepatnya namun kami juga perlu waktu untuk memeriksa kelengkapan dan kejelasan bukti yang kamu sertakan.

 

Artikel terkait

Perlu bantuan lain? Hubungi Customer Care kami

Chat langsung dengan Customer Care kami
Kami akan selalu siap membantu Anda 1500-489
Kami akan membalas email Anda sesegera mungkin support@jamtangan.com