BMKG Vulnerability Disclosure Program

Ketentuan ini membahas terkait penyelenggaraan program BMKG Vulnerability Disclosure Program.


KETENTUAN BMKG VULNERABILITY DISCLOSURE PROGRAM

Dalam berpartisipasi pada BMKG Vulnerability Disclosure Program, peserta diwajibkan untuk mengikuti beberapa ketentuan berikut:

  • Mematuhi seluruh syarat & ketentuan yang berlaku.
  • Tidak melakukan pengujian yang dapat menyebabkan gangguan terhadap aktivitas pengguna aplikasi yang sah. Misalnya mengubah, mengakses dan/atau berinteraksi dengan akun pengguna lain tanpa persetujuan pengguna akun.
  • Tidak melakukan pengujian yang dapat menyebabkan terganggunya layanan sistem elektronik yang diuji, misalnya melakukan Denial-Of-Service.
  • Tidak mengeksploitasi lebih lanjut kerentanan yang ditemukan, walaupun bertujuan untuk menunjukkan risiko terbesar. Misalnya dengan melakukan eksfiltrasi data, merubah konfigurasi, pivoting ke sistem lain dan sebagainya. Cukup melakukan Proof-Of-Concept untuk memastikan kerentanan yang ditemukan valid.
  • Tidak melakukan publikasi terhadap informasi kerentanan yang ditemukan tanpa persetujuan pihak-pihak terkait dalam penyelenggaraan BMKG Vulnerability Disclosure Program, sebagaimana dijelaskan pada Kebijakan Publikasi.
  • Melaporkan kepada pihak-pihak terkait dalam penyelenggaraan BMKG Vulnerability Disclosure Program apabila ditemukan indikasi peretasan (indicator of compromise), kebocoran data, dan/atau tidak tersedianya layanan sistem elektronik yang diuji (Denial of Service).
  • Mengisi form Non Disclosure Agreement sesuai dengan format berikut https://link.bmkg.go.id/nda-vdp.

LINGKUP DOMAIN

*.bmkg.go.id

JENIS KERENTANAN

  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery
  • Server-Side Request Forgery (SSRF)
  • SQL Injection
  • Server-side Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Access Control Issues (Insecure Direct Object Reference issues, etc)
  • Exposed Administrative Panels that don't require login credentials
  • Directory Traversal Issues
  • Local File Disclosure (LFD)
  • Misconfiguration issues on servers and application
  • Significant Authentication Bypass
  • Information disclosure of Sensitive Information
  • Server Side Template Injection (SSTI)
  • Leaked Private Keys
  • Local/Remote File Inclusion (LFI/RFI)

LAPORAN

Peserta melaporkan kerentanan hanya melalui form yang telah disediakan pada halaman ini.

SUBMIT

https://link.bmkg.go.id/submit-vdp

Peringatan Keamanan
Layanan
RFC 2350