GoDaddy
Политика ответственного раскрытия информации и Программа поиска уязвимостей компании GoDaddy

5 апреля 2016 г.

Политика ответственного раскрытия информации и Программа поиска уязвимостей компании GoDaddy

Политика ответственного раскрытия информации:

Компания GoDaddy поддерживает ответственный подход к раскрытию информации об уязвимостях в системе безопасности наших услуг или на нашем веб-сайте. С целью упрощения ответственного раскрытия информации об уязвимостях в системе безопасности мы соглашаемся, что, если по нашему собственному усмотрению мы придем к заключению, что раскрытие соответствует всем рекомендациям Программы поиска уязвимостей компании GoDaddy, компания GoDaddy не будет возбуждать какие-либо частные или уголовные судебные иски в отношении раскрывающей стороны.

Программа поиска уязвимостей

Компания GoDaddy предлагает денежные вознаграждения за ответственное раскрытие определенных удовлетворяющих требованиям уязвимостей в системе безопасности. Наша Программа поиска уязвимостей работает следующим образом:

Затрагиваемые услуги:

Программа поиска уязвимостей компании GoDaddy включает только веб-сайты www.godaddy.com и sso.godaddy.com.

Удовлетворяющие требованиям уязвимости:

Компания GoDaddy принимает отчеты о любых уязвимостях, которые существенным образом влияют на конфиденциальность или целостность соответствующих услуг компании GoDaddy. Соответствующие уязвимости включают, помимо прочего:

  • Межсайтовый скриптинг (XSS)

  • Ошибки авторизации и проверки подлинности

  • Подделку межсайтовых запросов (CSRF)

  • Удаленное выполнение кода

  • Внедрение кода SQL

  • Обратный путь в каталогах

  • «Угон кликов»

  • Повышение привилегий

Уязвимости, которые не удовлетворяют требованиям:

Любые домены за пределами адресов www.godaddy.com или sso.godaddy.com, а также любое содержимое клиента, сторонние программы и дополнительные модули не подпадают под действие Программы поиска уязвимостей.

Следующие действия не удовлетворяют требованиям Программы поиска уязвимостей и участникам Программы не следует их проверять:

  • Атаки типа «отказ в обслуживании», «метод подбора», «перечисление пользователей» или «распределенный отказ в обслуживании»

  • Физические атаки

  • Фишинговые атаки

  • Любые уязвимости, основанные на социальных сетях

  • Атаки CRIME/BEAST

  • CSRF при выходе из системы

  • Раскрытие баннеров или версии

  • Отсутствие записей об инфраструктуре политики отправителей (SPF)

  • Вывод каталогов (за исключением случаев, когда возможно нахождение конфиденциальных данных)

  • SEO-оптимизация, основанная только на поисковых механизмах без учета действий пользователей

  • Любые уязвимости, которые зависят от старых версий браузеров

Компания GoDaddy не принимает отчеты от автоматизированных сканеров уязвимостей.

Вознаграждения:

Все вознаграждения предоставляются по усмотрению команды Программы поиска уязвимостей компании GoDaddy в зависимости от серьезности выявленной уязвимости. В случае выплаты вознаграждения минимальная сумма вознаграждения составит 50 (пятьдесят) долл. США. По одной уязвимости в системе безопасности выплачивается только 1 (одно) вознаграждение. Вознаграждение выплачивается первому участнику, ответственно раскрывшему конкретную уязвимость.

Исследование уязвимостей и предоставление отчетов

Исследователи уязвимостей в системе безопасности, предоставляющие отчет об уязвимости, обязаны тщательно проверить и подтвердить наличие уязвимости, прежде чем предоставлять по ней отчет. Во все отчеты следует обязательно включать следующее:

  1. последовательность действий, с помощью которой можно воспроизвести уязвимость; и

  2. четкое описание любых используемых в вашем отчете аккаунтов, а также любых связей между ними.

Чтобы предоставить отчет об уязвимости, следуйте процедуре, описанной в этой статье, находящейся в Справочном центре компании GoDaddy.

Советы по составлению качественных отчетов

  1. Чем подробнее вы опишите последовательность действий, с помощью которой можно воспроизвести уязвимость, тем лучше. Сюда следует включать любые посещенные вами страницы, идентификаторы пользователя, выбранные ссылки и т. п.

  2. Всегда полезно включать видеоролики и изображения, но еще полезнее дополнять их описаниями.

  3. Стабильно работающие эксплойт-коды могут помочь нам перепроверить указанную вами уязвимость более быстро.

  4. Помните — подробности, подробности, подробности!

Конфиденциальность:

Любая полученная вами в ходе участия в Программе поиска уязвимостей информация о компании GoDaddy, сотрудниках компании GoDaddy или клиентах компании GoDaddy (“Конфиденциальная информация”) является конфиденциальной и может быть использована исключительно в рамках участия в Программе. Вы имеете право разглашать информацию об уязвимостях только после внесения надлежащих исправлений и не имеете права разглашать Конфиденциальную информацию без предварительного письменного разрешения со стороны компании GoDaddy. Любое иное разглашение Конфиденциальной информации приведет к немедленному исключению из участия в Программе.

Юридические сведения

Принимая участие в Программе поиска уязвимостей компании GoDaddy, вы подтверждаете, что ознакомились с Соглашением об универсальных условиях пользования и Политикой конфиденциальности компании GoDaddy и соглашаетесь с таковыми.

Проводимые вами проверки следует осуществлять в рамках законодательства, и таковые не должны нарушать предоставление услуг или подвергать опасности любые не принадлежащие вам данные.

Вы несете единоличную ответственность в отношении уплаты любых применимых налогов или удержаний, вызванных вашим участием в Программе поиска уязвимостей компании GoDaddy или связанных с таковым, включая в отношении любых выплачиваемых вам вознаграждений.

Компания GoDaddy имеет право привлекать сторонних поставщиков услуг для управления Программой поиска уязвимостей. В таком случае применяются условия и положения поставщика.

Вознаграждения за выявленные уязвимости не выплачиваются физическим или юридическим лицам, включенным в перечень субъектов санкций США или расположенным в странах или регионах, включенных в перечень субъектов санкций США.

Решение по выплате вознаграждения или отказе в таковом принимается исключительно по усмотрению компании GoDaddy.

Настоящая программа выплаты вознаграждений является дискреционной. Программа может быть отменена в любой момент времени.


05.04.16
© 2016 GoDaddy.com, LLC