Kamu bisa berkontribusi untuk Machtwatch - Jamtangan.com. Kontribusinya berupa pelaporan bug pada tim kami jika kamu menemukan adanya bug pada platform online Machtwatch (di situs Jamtangan.com maupun aplikasinya). Setelahnya, laporanmu akan diverifikasi oleh tim developer Machtwatch - Jamtangan.com untuk kemudian dilakukan perbaikan.
Komitmen Machtwatch - Jamtangan.com untuk kamu yang mau melaporkan bug:
- Machtwatch - Jamtangan.com akan menjaga informasi pengguna tetap aman dan terjaga.
- Machtwatch - Jamtangan.com akan mengapresiasi kontribusi kamu yang sudah melaporkan bug yang tentu sangat berharga bagi keamanan semua pengguna platform online Machtwatch - Jamtangan.com. Kami akan memberikan Voucher/MW Reward Point hingga Rp1.000.000 untuk setiap pelaporan bug yang kamu lakukan.
Apa saja yang bisa dilaporkan?
Bug pada platform online Machtwatch - Jamtangan.com di bawah ini:
- www.jamtangan.com
- iOS Application
- Android Application
Apa saja jenis bug yang bisa dilaporkan?
- SQL Injection
- Cross-site Scripting (XSS)
- Significant Authentication Bypass
- Access Control Issues (Insecure Direct Object Reference issues, etc)
- Cross-site Request Forgery in Critical Action
- Information disclosure of Sensitive Information
- Server-Side Request Forgery (SSRF)
- Server-side Remote Code Execution (RCE)
- XML External Entity Attacks (XXE)
- Exposed Administrative Panels yang tidak memerlukan login credentials
- Directory Traversal Issues
- Local File Disclosure (LFD)
- Server Side Template Injection (SSTI)
Lalu, apa saja jenis bug yang bukan termasuk bug bounty?
- Self-XSS (kami membutuhkan bukti bagaimana XSS digunakan untuk menyerang user Machtwatch - Jamtangan.com).
- Kami menerima laporan tentang XSS diluar Out of Scope Properties namun tidak memberikan hadiah/reward.
- Problem XSS yang berdampak pada outdated browsers.
- Laporan yang menyatakan bahwa software telah out of date/rentan.
- Password, email dan kebijakan akun, seperti verifikasi email ID, reset link expiration, password complexity.
- Tidak adanya security headers yang tidak berdampak langsung pada kerentanan.
- Tidak adanya best practices (kami membutuhkan bukti mengenai keamanan kerentanan).
- Host header injections kecuali jika kamu bisa memberi tahu bagaimana user data rentan untuk dicuri.
- Laporan spam (seperti pengiriman email & SMS tanpa rate limits).
- Stack traces yang mengungkapkan informasi.
- Laporan mengenai spekulasi/skenario akan adanya damage. Mohon dijelaskan secara lebih konkret.
- Kerentanan seperti yang dilaporkan oleh automated tools tentang bagaimana hal tersebut bisa menjadi problem di kemudian hari.
- Laporan tentang insecure SSL/TLS ciphers (kecuali jika kamu memiliki bukti dan tak sekadar laporan dari scanner).
- Laporan dari automated web vulnerability scanners (Acunetix, Vega, etc.) yang belum tervalidasi.
- Social Engineering (Phishing, Fraud, dll).
- Penolakan Service Attacks.
- Reflected File Download (RFD).
- Window opener (tabnabbing), dan problem terkait.
- Physical or social engineering (termasuk serangan phishing terhadap karyawan Machtwatch-Jamtangan.com).
- Masalah Content Injection.
- Masalah seputar Brute Forcing
- Cross-site Request Forgery (CSRF) dengan minimal security implications (Logout CSRF, dll.)
- Tidak adanya autocomplete attributes.
- Risiko Phising lewat unicode/punycode atau masalah RTLO.
- Bisa meng-upload files dengan extension yang salah di chooser.
- Tidak adanya cookie flags pada non-security-sensitive cookies.
- Masalah yang membutuhkan akses fisik pada komputer korban.
- Tidak adanya security headers yang tak menunjukkan kerentanan secara langsung.
- Secara spesifik tidak adanya HTTP security headers, Contoh: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP, Content-Security-Policy-Report-Only
- Masalah Fraud/Penipuan.
- Laporan SSL/TLS scan (atau output dari situs seperti SSL Labs).
- Masalah Banner Grabbing (mencari tahu server web apa yang kami gunakan).
- Membuka port tanpa bukti konsep yang menunjukkan kerentanan.
- Kerentanan 0 hari. Kami perlu waktu untuk menambal sistem kami, tolong beri kami waktu 1 bulan sebelum melaporkan jenis masalah ini.
Cara Membuat Pelaporan
Contoh pembuatan laporan untuk mendapatkan bug bounty :
- Buat laporan melalui e-mail ke developer@jamtangan.com, dengan subjek berformat: [BUG BOUNTY] Judul Laporan.
Contoh: [BUG BOUNTY] XSS Vulnerability in Review Produk
- Pada body email, tuliskan jenis celah keamanan yang kamu temukan, lalu tulis penjelasan PoC, yang bisa berbentuk langkah-langkah singkat yang disertakan gambar, dokumen PDF, atau video.
- Kamu tinggal menunggu balasan dari kami. Kami berupaya melakukan balasan secepatnya namun kami juga perlu waktu untuk memeriksa kelengkapan dan kejelasan bukti yang kamu sertakan.