BUG BOUNTY
LINUXENIC CORPORATION
SCAN OTOMATIS BISA MENGAKIBATKAN BLOCK IP PERMANENT, NO COOLDOWN.
Program Bug Bounty LINUXENIC Corporation bertujuan untuk membantu menemukan dan menutup celah keamanan pada platform kami. Kami menghargai kontribusi security researchers yang bertanggung jawab.
SCOPE
Laporan bug harus berfokus pada kerentanan dalam: *.linuxenic.com
Out-of-Scope Vulnerabilities
Jenis kerentanan berikut TIDAK termasuk dalam cakupan dan tidak akan diproses:
- DoS / DDoS
- Self-XSS
- Kerentanan teoretis tanpa bukti eksploitasi nyata
- Missing Security Headers tanpa dampak langsung
- Social Engineering
- CSRF pada fitur non-sensitif (contoh: logout)
- Clickjacking pada halaman non-sensitif
- Email Spoofing / DMARC / SPF misconfiguration
- SSL/TLS best practices
- Open ports tanpa dampak keamanan yang valid
- Scanner output tanpa validasi manual
- Vulnerability pada third-party services yang bukan milik kami
ATURAN PROGRAM
WAJIB DIPATUHI:
- Jangan melakukan pengujian yang mengganggu layanan atau pengguna lain.
- Jangan mengakses, mengubah, atau menghapus data pengguna lain.
- Jangan melakukan eksploitasi lebih lanjut setelah menemukan kerentanan. Cukup Proof-of-Concept.
- Jangan mempublikasikan temuan tanpa persetujuan tertulis dari kami.
- Satu kerentanan = satu laporan. Jangan gabung beberapa bug dalam satu email.
PELANGGARAN AKAN MENGAKIBATKAN:
- Tindakan hukum jika diperlukan
- Laporan tidak diproses
- Block IP permanen tanpa peringatan
CARA MELAPORKAN
Kirim email ke [email protected] dengan format berikut:
Subject: [BUG] Judul Singkat Kerentanan
INFORMASI PELAPOR
- Nama Lengkap:
- Username LINUXENIC:
- LinkedIn (opsional):
DETAIL KERENTANAN
- Jenis: (IDOR / XSS / SQLi / Auth Bypass / RCE / dll)
- Endpoint: (URL lengkap yang terdampak)
- Dampak: (Jelaskan impact nyata dan konkret)
LANGKAH REPRODUKSI
- …
- …
- …
BUKTI
Screenshot dan/atau video yang membuktikan kerentanan.
REKOMENDASI PERBAIKAN (opsional)
TIDAK SESUAI FORMAT, MAKA LAPORAN TIDAK AKAN DIPROSES.
Ketentuan Bukti
- Screenshot: lampirkan langsung di email sebagai attachment
- Video PoC: upload ke Google Drive, Loom, atau YouTube (unlisted), sertakan link LANGSUNG ke file
- Link shortener (bit.ly, s.id, tinyurl, dll) akan DIABAIKAN
- File PDF/DOCX tidak akan dibuka — tulis langsung di body email
Rewards
Laporan valid akan mendapatkan apresiasi berdasarkan severity:
| Severity | Reward |
|---|---|
| Low | Hall of Fame |
| Medium | Hall of Fame |
| High | Voucher Premium LINUXENIC Corporation 3 Bulan (dapat dijual kembali) |
| Critical / Exceptional | Reward uang (nominal ditentukan case-by-case) |
Severity dan reward ditentukan sepenuhnya oleh Tim Security LINUXENIC Corporation berdasarkan dampak nyata kerentanan.
Response Time
- Konfirmasi penerimaan: 1-3 hari kerja
- Hasil assessment: 7-14 hari kerja
- Waktu dapat bervariasi tergantung kompleksitas laporan
Terima kasih telah membantu menjaga keamanan LINUXENIC Corporation.
HALL OF FAME
Mereka adalah security researcher yang membantu mengamankan LINUXENIC Corporation menjadi lebih baik.
| NO | NAMA LENGKAP | CWE REFERENCE | SEVERITY |
|---|---|---|---|
| 1 | Rempeyek Udang | CWE-287: Improper Authentication | CRITICAL |
| 2 | Moehammad Dito Gianto | CWE-16: Configuration | LOW |
| 3 | Farissal B | CWE-78: Command Injection | MEDIUM |
| 4 | M. Alfan Nur Hanif | CWE-639: Authorization Bypass Through User-Controlled Key | LOW |
| 5 | Irsyad Bayu Kurniawan | CWE-799: Improper Control of Interaction Frequency | LOW |
| 6 | Ramdani A. | CWE-304: Missing Critical Step in Authentication | LOW |
