The 2025 Employee Engagement Calendar is live.

Unduh sekarang

Empuls Program Bug Bounty

Di Empuls, kami memahami bahwa perlindungan data konsumen merupakan prioritas utama dan tanggung jawab penting yang membutuhkan pemantauan terus-menerus. Kami sangat menghargai semua pihak dalam komunitas keamanan yang membantu kami memastikan keamanan 100% sistem kami setiap saat.

Kami percaya bahwa pengungkapan kerentanan keamanan yang bertanggung jawab membantu kami menjaga keamanan dan privasi pengguna. Kami mengundang para peneliti keamanan untuk melaporkan kerentanan keamanan yang mungkin mereka temui dalam produk kami. Mereka yang mengirimkan bug dalam cakupan program kami akan dihargai dengan tulus atas dukungan dan keahlian keamanan mereka.

Bagaimana cara kerjanya

  1. Jika Anda melihat adanya potensi masalah keamanan saat memenuhi semua kriteria yang disyaratkan dalam kebijakan kami, hubungi kami di support@empuls.io untuk membuat tiket.
  2. Tim keamanan kami akan memvalidasi tingkat keparahan dan keaslian masalah yang dilaporkan dalam waktu 90 hari.  
  3. Setelah validasi, tim kami akan mengambil langkah-langkah untuk memperbaiki masalah keamanan dengan kebijakan keamanan kami.  
  4. Setelah masalah teratasi, tim kami akan menginformasikan pemilik tiket.

Kelayakan

Agar memenuhi syarat untuk mendapatkan hadiah, Anda harus memenuhi persyaratan berikut ini:

  1. Anda harus menjadi orang pertama yang melaporkan kerentanan ke Empuls.  
  2. Masalah tersebut harus berdampak pada salah satu aplikasi yang tercantum dalam cakupan yang kami tetapkan.  
  3. Masalah tersebut harus termasuk dalam daftar bug 'Kualifikasi'.  
  4. Mempublikasikan informasi kerentanan dalam domain publik tidak diperbolehkan.  
  5. Setiap informasi tentang masalah kerentanan harus dijaga kerahasiaannya hingga masalah tersebut terselesaikan.  
  6. Tidak ada kebijakan privasi yang ditetapkan oleh Empuls yang boleh dilanggar saat melakukan pengujian keamanan.
  7. Modifikasi atau penghapusan data pengguna yang tidak diautentikasi, gangguan pada server produksi, atau segala bentuk degradasi terhadap pengalaman pengguna sepenuhnya dilarang.  

Pelanggaran terhadap salah satu aturan ini dapat mengakibatkan ketidaklayakan atau penghapusan dari program bug bounty Empuls .

Pedoman

  1. Gunakan hanya saluran yang teridentifikasi support@empuls.io untuk melaporkan kerentanan keamanan.
  2. Saat mengajukan tiket, pastikan bahwa deskripsi dan potensi dampak dari kerentanan telah disebutkan.
  3. Instruksi terperinci tentang langkah-langkah yang harus diikuti untuk mereproduksi kerentanan juga harus disertakan.
  4. Video POC yang lengkap harus dilampirkan, yang menunjukkan semua langkah dan informasi.
  5. Rincian tentang ruang lingkup dan kriteria kualifikasi disebutkan di bawah ini.

Cakupan

  1. Platform: https://empulsaccounts.xoxoday.com
  2. Situs web di luar cakupan: Subdomain pementasan, subdomain lain yang tidak terhubung ke empuls.io

Kerentanan yang Memenuhi Syarat

Setiap masalah desain atau implementasi yang secara substansial memengaruhi kerahasiaan atau integritas data pengguna kemungkinan besar termasuk dalam cakupan program. Contoh yang umum termasuk:

  • Skrip Lintas Situs (XSS)
  • Pemalsuan Permintaan Lintas Situs (CSRF)
  • Pemalsuan Permintaan Sisi Server (SSRF)
  • Injeksi SQL
  • Eksekusi Kode Jarak Jauh Sisi Server (RCE)
  • Serangan Entitas Eksternal XML (XXE)
  • Masalah Kontrol Akses (Masalah Referensi Objek Langsung yang Tidak Aman, Eskalasi Hak Istimewa, dll)
  • Panel Administratif Terbuka yang tidak memerlukan kredensial masuk
  • Masalah Penjelajahan Direktori
  • Pengungkapan File Lokal (LFD) dan Penyertaan File Jarak Jauh (RFI)
  • Manipulasi Pembayaran
  • Bug eksekusi kode sisi server
  • Pembatasan dan Pelambatan Laju API
    - Melewati batas laju API.
    - Kondisi perlombaan dan masalah konkurensi di titik akhir API.

Kerentanan yang Tidak Memenuhi Syarat

  • Pengalihan Terbuka: 99% pengalihan terbuka memiliki dampak keamanan yang rendah. Untuk kasus-kasus yang jarang terjadi di mana dampaknya lebih tinggi, misalnya, mencuri token oauth, kami masih ingin mendengarnya
  • Laporan yang menyatakan bahwa perangkat lunak sudah ketinggalan zaman/rentan tanpa 'Bukti Konsep'
  • Masalah header host tanpa POC yang menunjukkan kerentanan
  • Masalah XSS yang hanya memengaruhi browser yang sudah ketinggalan zaman
  • Jejak tumpukan yang mengungkapkan informasi
  • Pembajakan klik dan masalah yang hanya dapat dieksploitasi melalui pembajakan klik
  • Injeksi CSV. Silakan lihat artikel ini: Injeksi rumus CSV | Google
  • Masalah-masalah yang berkaitan dengan praktik-praktik terbaik
  • Laporan yang sangat spekulatif tentang kerusakan teoritis. Jadilah konkret
  • Self-XSS yang tidak dapat digunakan untuk mengeksploitasi pengguna lain
  • Kerentanan yang dilaporkan oleh alat otomatis tanpa analisis tambahan tentang bagaimana kerentanan tersebut menjadi masalah
  • Laporan dari pemindai kerentanan web otomatis (Acunetix, Burp Suite, Vega, dll.) yang belum divalidasi
  • Serangan Penolakan Layanan
  • Serangan dengan Kekerasan (Brute Force)
  • Pengunduhan File yang Dipantulkan (RFD)
  • Upaya rekayasa fisik atau sosial (ini termasuk serangan phishing terhadap karyawan Empuls )
  • Masalah injeksi konten
  • Pemalsuan Permintaan Lintas Situs (CSRF) dengan implikasi keamanan minimal (CSRF Logout, dll.)
  • Atribut pelengkapan otomatis yang hilang
  • Bendera cookie yang hilang pada cookie yang tidak sensitif terhadap keamanan
  • Masalah yang membutuhkan akses fisik ke komputer korban
  • Header keamanan yang hilang yang tidak menimbulkan kerentanan keamanan langsung.
  • Masalah Penipuan
  • Rekomendasi tentang peningkatan keamanan
  • Laporan pemindaian SSL/TLS (ini berarti keluaran dari situs seperti SSL Labs)
  • Masalah pengambilan spanduk (mencari tahu server web yang kami gunakan, dll.)
  • Port terbuka tanpa POC yang menunjukkan kerentanan
  • Kerentanan yang baru saja diungkapkan. Kami membutuhkan waktu untuk menambal sistem kami seperti halnya orang lain - mohon beri kami waktu dua minggu sebelum melaporkan jenis masalah ini

Hadiah

Hadiah Bug Bounty akan dibayarkan dalam bentuk kartu hadiah populer. Nilai kartu hadiah akan bergantung pada tingkat keparahan dan kualitas bug seperti di bawah ini:

Tingkat Keparahan Bug
Nilai Hadiah
Tinggi
$250
Sedang
$150
Rendah
$100

Catatan

Keputusan akhir mengenai kelayakan bug dan pemberian hadiah akan dibuat oleh Empuls. Program ini ada atas kebijakan perusahaan dan dapat dibatalkan kapan saja.

Menemukan Bug?

Hubungi kami untuk mengajukan tiket, jika Anda melihat adanya potensi masalah keamanan dan juga memenuhi semua kriteria yang disyaratkan dalam kebijakan kami.

Laporan
Firma
Tentang kita
Karier 🚀 Kami sedang merekrut
Orang &Budaya
Newsroom
Mitra
Program Rujukan
Sumber daya
Blog
Webinar
Panduan &Ebooks
Kisah Pelanggan
Daftar Istilah
Dukung
Aplikasi Seluler
Daftar Pertanyaan
Pusat Bantuan
Naikkan Tiket
Hubungi kami
Harga
Hubungi
Pesan Demo
RFP
Kebijakan Privasi
Keamanan
Syarat Penggunaan
Bug Bounty
© 2024 Giift | Semua Hak Cipta Dilindungi Undang-Undang