Bounty Terms

Dalam berpartisipasi pada Tangsel Bug Bounty Program 2024, peserta diwajibkan untuk mengikuti beberapa ketentuan berikut :

  • Mematuhi seluruh syarat & ketentuan yang berlaku
  • Tidak melakukan pengujian yang dapat menyebabkan gangguan terhadap aktivitas pengguna aplikasi yang sah. Misalnya mengubah, mengakses dan/atau berinteraksi dengan akun pengguna lain tanpa pesertujuan pengguna akun
  • Tidak melakukan pengujian yang dapat menyebabkan terganggunya layanan system elektronik yang diuji, misalnya melakukan Denial-Of-Service
  • Tidak mengeksploitasi lebih lanjut kerentanan yang ditemukan, walaupun bertujuan untuk menunjukkan risiko terbesar. Misalnya dengan melakukan eksfiltrasi data, merubah konfigurasi, pivoting ke sistem lain dan sebagainya. Cukup melakukan Proof-Of-Concept untuk memastikan kerentanan yang ditemukan valid
  • Tidak melakukan publikasi terhadap informasi kerentanan yang ditemukan tanpa persetujuan pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program, sebagimana dijelaskan pada Kebijakan Publikasi 
  • Melaporkan kepada pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program apabila ditemukan indikasi peretasan (indicator of compromise), kebocoran data, dan/atau tidak tersedianya layanan system elektronik yang diuji (Denial of Service) 


In Scope

  • *.tangerangselatankota.go.id


Out Of Scope

  • DOS/DDOS
  • Self-XSS
  • Kerentanan yang hanya bersifat teoritis tanda adanya pembuktian 
  • Missing Security Header 
  • Social Engineering 
  • Cross-site Request Forgery (CSRF) pada fitur yang non-sensitif atau memiliki dampak minimal, seperti logout CSRF
  • Clickjacking pada halaman yang tidak sensitive
  • Email Spoofing dan/atau terkait email miskonfigurasi seperti DMARC dan SPF Records 
  • SSL/TLS best practices 
  • Open port tanpa dampak yang valid 


Responsible Disclosure Policy

  1. Peserta tidak diperkenankan melakukan publikasi kerentanan yang ditemukan tanpa adanya persetujuan dari pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program
  2. Publikasi tidak boleh mencantumkan Nama Instansi pemilik sistem, URL, screenshot asli dari website, baik secara eksplisit maupun implisit
  3. Jika peserta mempublikasikan kerentanan tanpa adanya persetujuan dari pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program (untuk alasan apapun termasuk pendidikan, portofolio, dll), pemilik sistem dapat mengajukan gugatan atau mengambil tindakan hukum sesuai peraturan perundang-undangan yang berlaku
  4. Semua keputusan dari panitia di program ini tidak dapat diganggu gugat 


Report Guidelines

  • Peserta melaporkan kerentanan hanya melaluui jalur komunikasi yang telah ditentukan, dalam hal ini melalui email tangselbounty@gmail.com
  • Melaporkan kerentanan secara rinci, sesuai dengan format dan ketentuan yang telah diberikan
  • Diskominfo Kota Tangerang Selatan dapat meminta perbaikan atau menolak laporan yang dikirim oleh Pelapor apabila tidak sesuai dengan ketentuan pelaporan
  • Judul memuat informasi jenis kerentanan dan nama sistem yang rentan. Contoh : Laporan Kerentanan SQL Injection pada https://target.go.id/?id= 
  • Memuat nama sistem yang rentan berserta URL lokasi kerentanan. Contoh : https://target.go.id/User/UbahPassword 
  • Menentukan jenis kerentanan 
  • Menentukan severity dari kerentanan (Critical, High, Medium, Low)
  • Menjelaskan kerentanan yang ditemukan pada target 
  • Menjelaskan secara rinci Langkah-langkah Proof of Concept (PoC) kerentanan
  • Menyertakan bukti tangkap gambar atau video PoC
  • Menjelaskan dampak yang dapat ditimbulkan dari kerentanan yang ditemukan 
  • Memuat rekomendasi perbaikan atas kerentanan yang ditemukan 

FAQ

Q: Bagaimana cara penentuan pemenang?

A: Pemenang akan ditentukan untuk 3 peringkat teratas pada halaman Hall of Fame

Q: Berapa hadiah yang akan didapatkan pemenang?

A: Untuk peringkat 1 akan mendapatkan Rp6.000.000, peringkat 2 mendapatkan Rp4.000.000 dan peringkat 3 mendapatkan Rp2.000.000 (hadiah belum dipotong pajak).


97de67b8d672c51c158247f398b85d31