GoDaddy

SINE RETNINGSLINJER FOR ERKLÆRING OM KOORDINERT SÅRBARHET

Koordinert offentliggjøring om sårbarhet

GoDaddy oppfordrer forskere til å jobbe med oss om potensielle problemer i tjenestene våre eller på nettstedet vårt. For å oppfordre forskere til å jobbe med oss, samtykker vi i at hvis vi etter vårt eget skjønn konkluderer med at en offentliggjøring oppfyller alle retningslinjene i GoDaddys koordinerte policy for offentliggjøring, så kommer ikke GoDaddy til å anmelde eller rette søksmål mot parten som står bak denne offentliggjøringen.

Ikke-kvalifiserte sårbarheter

Alle domener som ikke finnes på GoDaddy er utenfor omfanget for Koordinert offentliggjøring om sårbarhet. Det samme gjelder for alt kundeinnhold og tredjepartsprogrammer og -plugin-moduler.

Følgende handlinger kvalifiserer ikke for Koordinert offentliggjøring og skal ikke testes av forskerne som deltar i programmet:

  • DoS-, brute force-, user enumeration- eller DDoS-angrep
  • Fysiske angrep
  • Nettfiskingsangrep
  • Eventuelle feil som avhenger av sosial manipulering
  • CRIME/BEAST-angrep
  • CSRF ved avlogging
  • Banner- eller versjonsvidereformidling
  • Manglende SPF-oppføringer
  • Katalogoppføringer (med mindre sensitive opplysninger kan bli funnet)
  • Blackhat-teknikker for SEO
  • Eventuelle feil som avhenger av utdaterte nettlesere

GoDaddy kommer ikke til å godta rapporter fra automatiserte sårbarhetsskannere.

Kvalifiserte sårbarheter

GoDaddy godtar rapporter om eventuelle sårbarheter som har vesentlig innvirkning på konfidensialiteten eller integriteten til noen av de kvalifiserte GoDaddy-tjenestene. Kvalifiserte sårbarheter kan inkludere, men er ikke begrenset til, følgende:

  • Cross Site Scripting (XSS)
  • Autentifiserings- og autorisasjonsfeil
  • Cross Site Request Forgery (CSRF)
  • Kjøring av ekstern kode
  • SQL-injeksjon
  • Katalogtraversering
  • Klikkapring
  • Rettighetseskalering

Forslag for gode rapporter

  1. Jo mer detaljert fremgangsmåten for å reprodusere feilen er, jo bedre er det. Den bør inkludere eventuelle sider du har besøkt, bruker-ID-er du har brukt, koblinger du har klikket på, osv.
  2. Videoer og bilder er alltid nyttige, men de er enda bedre når det følger med beskrivelser.
  3. Utnyttelseskode som fungerer hele tiden, kan hjelpe oss med å bekrefte sårbarheten raskere.
  4. Husk – detaljer, detaljer, detaljer!

Konfidensialitet

Eventuell informasjon du samler inn om GoDaddy, GoDaddy ansatte eller GoDaddy kunder (“Konfidensiell informasjon”) i løpet av Koordinert offentliggjøring om sårbarhet-programmet, må holdes konfidensiell og skal bare brukes i forbindelse med programmet. Du kan bare videreformidle informasjon om sårbarheter etter at passende korrigerende tiltak er implementert, og du kan ikke videreformidle konfidensiell informasjon uten først å ha innhentet skriftlig samtykke fra GoDaddy. Eventuell videreformidling av konfidensiell informasjon utover dette, fører til at du blir fjernet fra programmet umiddelbart.

Juridisk

Ved å delta i GoDaddys Koordinert offentliggjøring om sårbarhet, samtykker du i at du har lest og godtar GoDaddys allmenne tjenestebetingelser-avtale og personvernpolicy.

Testingen du utfører, må ikke bryte noen lover, skape avbrudd i tjenester eller kompromittere eventuelle data du ikke eier.


Oversatte versjoner av juridiske avtaler og policyer er oppgitt utelukkende av praktiske hensyn for å gi bedre lesbarhet og forståelse i forhold til de engelske versjonene. Formålet med å oppgi oversettelser av juridiske avtaler og policyer er ikke å inngå en juridisk bindende avtale, og de erstatter ikke den juridiske gyldigheten til de engelske versjonene. I tilfelle tvister eller konflikter, regulerer uansett de engelske versjonene av juridiske avtaler og policyer vårt forhold, og de vil ha forrang over vilkårene på andre språk.