Bounty Terms In Scope Out Of Scope Responsible Disclosure Policy Report Guidelines FAQ

Bounty Terms

Dalam berpartisipasi pada Tangsel Bug Bounty Program, peserta diwajibkan untuk mengikuti beberapa ketentuan berikut :

  • Mematuhi seluruh syarat & ketentuan yang berlaku
  • Tidak melakukan pengujian yang dapat menyebabkan gangguan terhadap aktivitas pengguna aplikasi yang sah. Misalnya mengubah, mengakses dan/atau berinteraksi dengan akun pengguna lain tanpa pesertujuan pengguna akun
  • Tidak melakukan pengujian yang dapat menyebabkan terganggunya layanan system elektronik yang diuji, misalnya melakukan Denial-Of-Service
  • Tidak mengeksploitasi lebih lanjut kerentanan yang ditemukan, walaupun bertujuan untuk menunjukkan risiko terbesar. Misalnya dengan melakukan eksfiltrasi data, merubah konfigurasi, pivoting ke sistem lain dan sebagainya. Cukup melakukan Proof-Of-Concept untuk memastikan kerentanan yang ditemukan valid
  • Tidak melakukan publikasi terhadap informasi kerentanan yang ditemukan tanpa persetujuan pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program, sebagimana dijelaskan pada Kebijakan Publikasi 
  • Melaporkan kepada pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program apabila ditemukan indikasi peretasan (indicator of compromise), kebocoran data, dan/atau tidak tersedianya layanan system elektronik yang diuji (Denial of Service) 


In Scope

  • *.tangerangselatankota.go.id


Out Of Scope

  • DOS/DDOS
  • Self-XSS
  • Kerentanan yang hanya bersifat teoritis tanda adanya pembuktian 
  • Missing Security Header 
  • Social Engineering 
  • Cross-site Request Forgery (CSRF) pada fitur yang non-sensitif atau memiliki dampak minimal, seperti logout CSRF
  • Clickjacking pada halaman yang tidak sensitive
  • Email Spoofing dan/atau terkait email miskonfigurasi seperti DMARC dan SPF Records 
  • SSL/TLS best practices 
  • Open port tanpa dampak yang valid 


Responsible Disclosure Policy

  1. Peserta tidak diperkenankan melakukan publikasi kerentanan yang ditemukan tanpa adanya persetujuan dari pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program
  2. Publikasi tidak boleh mencantumkan Nama Instansi pemilik sistem, URL, screenshot asli dari website, baik secara eksplisit maupun implisit
  3. Jika peserta mempublikasikan kerentanan tanpa adanya persetujuan dari pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program (untuk alasan apapun termasuk pendidikan, portofolio, dll), pemilik sistem dapat mengajukan gugatan atau mengambil tindakan hukum sesuai peraturan perundang-undangan yang berlaku 


Report Guidelines

  • Peserta melaporkan kerentanan hanya melaluui jalur komunikasi yang telah ditentukan, dalam hal ini melalui email tangselbounty@gmail.com
  • Melaporkan kerentanan secara rinci, sesuai dengan format dan ketentuan yang telah diberikan
  • Diskominfo Kota Tangerang Selatan dapat meminta perbaikan atau menolak laporan yang dikirim oleh Pelapor apabila tidak sesuai dengan ketentuan pelaporan
  • Judul memuat informasi jenis kerentanan dan nama sistem yang rentan. Contoh : Laporan Kerentanan SQL Injection pada https://target.go.id/?id= 
  • Memuat nama sistem yang rentan berserta URL lokasi kerentanan. Contoh : https://target.go.id/User/UbahPassword 
  • Menentukan jenis kerentanan 
  • Menentukan severity dari kerentanan (Critical, High, Medium, Low)
  • Menjelaskan kerentanan yang ditemukan pada target 
  • Menjelaskan secara rinci Langkah-langkah Proof of Concept (PoC) kerentanan
  • Menyertakan bukti tangkap gambar atau video PoC
  • Menjelaskan dampak yang dapat ditimbulkan dari kerentanan yang ditemukan 
  • Memuat rekomendasi perbaikan atas kerentanan yang ditemukan 

FAQ

Q: What if I found a vulnerability, but I don't know how to exploit it?

A: We expect that vulnerability reports sent to us have a valid attack scenario to qualify for a reward, and we consider it as a critical step when doing vulnerability research. Reward amounts are decided based on the maximum impact of the vulnerability, and the panel is willing to reconsider a reward amount, based on new information (such as a chain of bugs, or a revised attack scenario).

Q: Who determines whether my report is eligible for a reward?

A: The reward panel consists of the members of the Gerobug Security Team.

Q: When will reward be paid?

A: You will be paid after the vulnerabilty has been fixed by our engineer. Please wait for maximum 90 days.

Q: When will reward be paid?

A: We encourage you to review our Responsible Disclosure Policy. In essence, we promise to get back to you quickly and address errors in a reasonable amount of time; in return, we ask for a fair amount of notice. Reports that violate this rule are typically disqualified, and the award is revoked. Additionally, if it contains sensitive information, it doesn't eliminate the prospect of legal action under applicable laws.