Bounty Terms
Dalam berpartisipasi pada Tangsel Bug Bounty Program 2024, peserta diwajibkan untuk mengikuti beberapa ketentuan berikut :
- Mematuhi seluruh syarat & ketentuan yang berlaku
- Tidak melakukan pengujian yang dapat menyebabkan gangguan terhadap aktivitas pengguna aplikasi yang sah. Misalnya mengubah, mengakses dan/atau berinteraksi dengan akun pengguna lain tanpa pesertujuan pengguna akun
- Tidak melakukan pengujian yang dapat menyebabkan terganggunya layanan system elektronik yang diuji, misalnya melakukan Denial-Of-Service
- Tidak mengeksploitasi lebih lanjut kerentanan yang ditemukan, walaupun bertujuan untuk menunjukkan risiko terbesar. Misalnya dengan melakukan eksfiltrasi data, merubah konfigurasi, pivoting ke sistem lain dan sebagainya. Cukup melakukan Proof-Of-Concept untuk memastikan kerentanan yang ditemukan valid
- Tidak melakukan publikasi terhadap informasi kerentanan yang ditemukan tanpa persetujuan pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program, sebagimana dijelaskan pada Kebijakan Publikasi
- Melaporkan kepada pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program apabila ditemukan indikasi peretasan (indicator of compromise), kebocoran data, dan/atau tidak tersedianya layanan system elektronik yang diuji (Denial of Service)
In Scope
- *.tangerangselatankota.go.id
Out Of Scope
- DOS/DDOS
- Self-XSS
- Kerentanan yang hanya bersifat teoritis tanda adanya pembuktian
- Missing Security Header
- Social Engineering
- Cross-site Request Forgery (CSRF) pada fitur yang non-sensitif atau memiliki dampak minimal, seperti logout CSRF
- Clickjacking pada halaman yang tidak sensitive
- Email Spoofing dan/atau terkait email miskonfigurasi seperti DMARC dan SPF Records
- SSL/TLS best practices
- Open port tanpa dampak yang valid
Responsible Disclosure Policy
- Peserta tidak diperkenankan melakukan publikasi kerentanan yang ditemukan tanpa adanya persetujuan dari pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program
- Publikasi tidak boleh mencantumkan Nama Instansi pemilik sistem, URL, screenshot asli dari website, baik secara eksplisit maupun implisit
- Jika peserta mempublikasikan kerentanan tanpa adanya persetujuan dari pihak-pihak terkait dalam penyelenggaraan Tangsel Bug Bounty Program (untuk alasan apapun termasuk pendidikan, portofolio, dll), pemilik sistem dapat mengajukan gugatan atau mengambil tindakan hukum sesuai peraturan perundang-undangan yang berlaku
- Semua keputusan dari panitia di program ini tidak dapat diganggu gugat
Report Guidelines
- Peserta melaporkan kerentanan hanya melaluui jalur komunikasi yang telah ditentukan, dalam hal ini melalui email tangselbounty@gmail.com
- Melaporkan kerentanan secara rinci, sesuai dengan format dan ketentuan yang telah diberikan
- Diskominfo Kota Tangerang Selatan dapat meminta perbaikan atau menolak laporan yang dikirim oleh Pelapor apabila tidak sesuai dengan ketentuan pelaporan
- Judul memuat informasi jenis kerentanan dan nama sistem yang rentan. Contoh : Laporan Kerentanan SQL Injection pada https://target.go.id/?id=
- Memuat nama sistem yang rentan berserta URL lokasi kerentanan. Contoh : https://target.go.id/User/UbahPassword
- Menentukan jenis kerentanan
- Menentukan severity dari kerentanan (Critical, High, Medium, Low)
- Menjelaskan kerentanan yang ditemukan pada target
- Menjelaskan secara rinci Langkah-langkah Proof of Concept (PoC) kerentanan
- Menyertakan bukti tangkap gambar atau video PoC
- Menjelaskan dampak yang dapat ditimbulkan dari kerentanan yang ditemukan
- Memuat rekomendasi perbaikan atas kerentanan yang ditemukan
FAQ
Q: Bagaimana cara penentuan pemenang?
A: Pemenang akan ditentukan untuk 3 peringkat teratas pada halaman Hall of Fame
Q: Berapa hadiah yang akan didapatkan pemenang?
A: Untuk peringkat 1 akan mendapatkan Rp6.000.000, peringkat 2 mendapatkan Rp4.000.000 dan peringkat 3 mendapatkan Rp2.000.000 (hadiah belum dipotong pajak).