Jl. Angkasa I No.2 Kemayoran Jakarta Pusat, DKI Jakarta

Contact Center (021) 196

csirt@bmkg.go.id

Program VDP

BMKG Vulnerability Disclosure Program

Ketentuan ini membahas terkait penyelenggaraan program BMKG Vulnerability Disclosure Program.

Ketentuan BMKG Vulnerability Disclosure Program

Dalam berpartisipasi pada BMKG Vulnerability Disclosure Program, peserta diwajibkan untuk mengikuti beberapa ketentuan berikut:

  • Mematuhi seluruh syarat & ketentuan yang berlaku.

  • Tidak melakukan pengujian yang dapat menyebabkan gangguan terhadap aktivitas pengguna aplikasi yang sah, seperti mengubah, mengakses, atau berinteraksi dengan akun pengguna lain tanpa persetujuan pengguna akun.

  • Tidak melakukan pengujian yang dapat menyebabkan terganggunya layanan sistem elektronik yang diuji, misalnya melakukan Denial-Of-Service.

  • Tidak mengeksploitasi lebih lanjut kerentanan yang ditemukan, walaupun bertujuan untuk menunjukkan risiko terbesar, seperti melakukan eksfiltrasi data, merubah konfigurasi, pivoting ke sistem lain, dan sebagainya.

  • Tidak melakukan publikasi terhadap informasi kerentanan yang ditemukan tanpa persetujuan pihak-pihak terkait dalam penyelenggaraan BMKG Vulnerability Disclosure Program, sebagaimana dijelaskan pada Kebijakan Publikasi.

  • Melaporkan kepada pihak-pihak terkait dalam penyelenggaraan BMKG Vulnerability Disclosure Program apabila ditemukan indikasi peretasan, kebocoran data, dan/atau tidak tersedianya layanan sistem elektronik yang diuji.

  • Mengisi form Non Disclosure Agreement sesuai dengan format berikut https://link.bmkg.go.id/nda-vdp.

Lingkup Domain

*.bmkg.go.id

Jenis Kerentanan

  1. Cross-site Scripting (XSS)

  2. Cross-site Request Forgery

  3. Server-Side Request Forgery (SSRF)

  4. SQL Injection

  5. Server-side Remote Code Execution (RCE)

  6. XML External Entity Attacks (XXE)

  7. Access Control Issues (Insecure Direct Object Reference issues, etc.)

  8. Exposed Administrative Panels that don't require login credentials

  9. Directory Traversal Issues Local File Disclosure (LFD)

  10. Misconfiguration issues on servers and applications

  11. Significant Authentication Bypass

  12. Information disclosure of Sensitive Information

  13. Server Side Template Injection (SSTI)

  14. Leaked Private Keys Local/Remote File Inclusion (LFI/RFI)

Laporan

Peserta melaporkan kerentanan hanya melalui form yang telah disediakan pada halaman ini.

Submit

https://link.bmkg.go.id/submit-vdp