GoDaddy
協同漏洞揭露政策
協同漏洞揭露
GoDaddy 積極向研究人員尋求合作,以求解決服務或網站的潛在問題。為促進研究人員合作,我們同意若揭露內容符合 GoDaddy 協同漏洞揭露政策 (由本公司全權決定),則 GoDaddy 將不會向揭露方採取任何私人訴訟或刑事法律行動。
不符資格之漏洞
任何非 GoDaddy 內之網域、所有託管客戶內容、第三方程式與外掛程式皆不屬於協同漏洞揭露的範圍。
以下行動不符協同漏洞揭露資格,不應由參與計劃之研究人員進行測試:
- DoS、暴力破解、用戶列舉或 DDoS 攻擊
- 實體攻擊
- 網路釣魚攻擊
- 任何社交工程相關漏洞
- CRIME/BEAST 攻擊
- 登出 CSRF
- 橫幅或版本揭露
- 遺失 SPF 記錄
- 目錄刊登 (若含有敏感資料,則除外)
- 黑帽 SEO 技術
- 任何過舊瀏覽器的相關漏洞
GoDaddy 不接受由自動漏洞掃描工具產生的報告。
符合資格之漏洞
對於實際影響任何 GoDaddy 符合資格服務的機密性和完整性之任何漏洞,GoDaddy 皆接受其相關報告。符合資格的漏洞包括但不限於:
- 跨網站指令碼 (XSS)
- 驗證與授權錯誤
- 跨網站偽造要求 (CSRF)
- 遠端執行編碼
- SQL 注入攻擊
- 目錄周遊
- 點閱挾持
- 權限提升
良好報告的建議
- 重現漏洞的步驟越詳細越好,當中應包含您曾瀏覽的頁面、使用者 ID、點閱的連結等等。
- 影片與圖片絕對十分實用,但加入說明更好。
- 運用持續有效的程式碼有助本公司更快地驗證您找出的漏洞。
- 記住——越詳細越好!
機密性
您透過協同漏洞揭露所收集之任何有關 GoDaddy、GoDaddy 員工或 GoDaddy 客戶的資料 (「機密資料」) 必須保密,而且僅能用於計劃之相關用途。您僅能於補救措施完成後揭露漏洞,而且您不可在未得 GoDaddy 事先書面同意的情況下揭露機密資料。若有任何不符合此規定的機密資料揭露,本公司得將涉及人員從計劃中移除。
法律
若參與 GoDaddy 協同漏洞揭露,即表示您知悉您已閱讀並同意 GoDaddy 通用服務條款協議以及隱私權政策。
您的測試不得違反任何法律、干擾服務或損壞任何不屬於您的資料。