Security Policy

Responsible Disclosure

Panduan dan komitmen saya dalam melaporkan kerentanan keamanan secara etis dan bertanggung jawab.

Terakhir diperbarui:

Komitmen Saya

  • Melaporkan kerentanan langsung ke pemilik sistem sebelum dipublikasikan
  • Memberikan waktu yang cukup (minimum 30 hari) untuk perbaikan sebelum disclosure publik
  • Tidak mengeksploitasi kerentanan untuk keuntungan pribadi atau akses tidak sah
  • Tidak mengakses, memodifikasi, atau menghapus data pengguna selama pengujian
  • Mendokumentasikan temuan secara akurat dan reproducible
  • Menjaga kerahasiaan detail teknis sampai patch tersedia

Proses Disclosure

01

Penemuan

Identifikasi kerentanan melalui riset independen atau pengujian yang diizinkan.

02

Dokumentasi

Reproduksi kerentanan, catat langkah-langkah, dampak, dan bukti (screenshot/PoC).

03

Pelaporan Privat

Kirim laporan ke tim keamanan atau kontak resmi pemilik sistem secara privat.

04

Koordinasi

Tunggu konfirmasi dan berikan waktu perbaikan. Tersedia untuk klarifikasi teknis.

05

Verifikasi Patch

Verifikasi bahwa perbaikan sudah efektif sebelum publikasi.

06

Publikasi

Publikasi writeup teknis setelah patch tersedia, dengan izin atau setelah batas waktu.

Kebijakan Waktu

7 hari

Konfirmasi awal

30–90 hari

Waktu perbaikan

90 hari

Batas maksimal

Setelah 90 hari tanpa respons atau perbaikan, saya berhak mempublikasikan temuan untuk kepentingan publik — sesuai standar coordinated disclosure yang umum diadopsi industri.

Scope Riset

In Scope

  • Web application vulnerabilities (XSS, SQLi, IDOR, SSRF)
  • Authentication & authorization bypass
  • Sensitive data exposure
  • Security misconfiguration
  • API security issues

Out of Scope

  • Serangan DDoS atau gangguan layanan
  • Social engineering terhadap karyawan
  • Akses fisik ke infrastruktur
  • Spam atau phishing
  • Sistem tanpa izin eksplisit

Laporkan Kerentanan

Jika kamu menemukan kerentanan di sistem yang saya kelola atau ingin berdiskusi tentang riset keamanan, hubungi saya melalui:

Email (Diutamakan)

raehanramadhanq1@gmail.com

LinkedIn

Muhamad Raehan Ramadhan

WhatsApp Channel

Ikuti untuk update riset & temuan terbaru

Subject email: [SECURITY] Nama Kerentanan — Nama Platform