КООРДИНОВАНА ПОЛІТИКА РОЗКРИТТЯ ВРАЗЛИВОСТЕЙ

Компанія GoDaddy заохочує дослідників працювати з нами над потенційними проблемами з нашими послугами або на нашому веб-сайті. Щоб заохотити дослідників до співпраці з нами, ми погоджуємося, що якщо ми на власний розсуд визначимо, що розголошення відомостей відповідає всім вимогам Політики координованого розголошення GoDaddy, компанія GoDaddy не подаватиме будь-який приватний або кримінальний позов проти сторони, яка розголошує ці відомості.

На будь-який домен, який не належить до GoDaddy, не поширюється дія Координованого розкриття вразливостей, оскільки він зберігає власний вміст, програми та плагіни сторонніх розробників.

Перелічені нижче дії не відповідають умовам Координованого розголошення, тому дослідники, які беруть участь у ній, не повинні їх перевіряти. До таких дій належать:

• атаки DoS, метод перебору варіантів ключа, метод перебору варіантів імені користувача або атаки DDoS;
• фізичні атаки;
• фішинг;
• будь-які помилки, засновані на засадах соціотехніки;
• атаки CRIME/BEAST;
• міжсайтова підробка запитів на вихід із системи;
• банер або розголошення версії;
• відсутні записи SPF;
• перелік файлів каталогу (лише якщо не будуть знайдені конфіденційні дані);
• «чорні» методи пошукової оптимізації;
• будь-які помилки, обумовлені застарілим браузером.

Компанія GoDaddy не прийматиме звіти з автоматизованих сканерів уразливості.

GoDaddy прийматиме звіти про будь-які прояви вразливості, які суттєво впливають на конфіденційність або цілісність відповідної служби GoDaddy. До проявів уразливості, які підпадають під дію цієї програми, зокрема, але не виключно, належать:

• міжсайтові сценарії (XSS);
• недоліки автентифікації й авторизації;
• підробка міжсайтових запитів (CSRF);
• віддалене виконання коду;
• упровадження SQL-коду;
• обхід каталогу;
• клікджекінг;
• розширення привілеїв.

1. Якомога детальніше описуйте дії для відтворення помилки. Зокрема, указуйте відвідані сторінки, використані ідентифікатори користувачів і натиснуті посилання тощо.
2. Відео та зображення ніколи не будуть зайвими, однак щоб зробити їх кориснішими, додавайте описи.
3. Використовуйте код, узгоджена робота якого дасть нам змогу швидше перевірити вразливість.
4. Не забувайте про найдрібніші деталі!

Будь-яка зібрана вами інформація про компанію GoDaddy, працівників GoDaddy або клієнтів GoDaddy («Конфіденційна інформація») через програму Координованого розкриття вразливостей не повинна розголошуватись і може використовуватися лише у зв’язку з програмою. Ви можете повідомляти про прояви вразливості лише після виконання належного виправлення та не можете розголошувати Конфіденційну інформацію без письмової згоди компанії GoDaddy. Будь-яке неправомірне розголошення Конфіденційної інформації призведе до негайного припинення участі в програмі.

Беручи участь у Координованому розкритті вразливостей, запровадженому компанією GoDaddy, ви підтверджуєте, що прочитали та приймаєте Угоду про універсальні умови користування та Політику конфіденційності компанії GoDaddy.

Під час перевірки ви не можете порушувати законодавство, перешкоджати роботі служб або розголошувати дані, які вам не належать.