GoDaddy

CHÍNH SÁCH TIẾT LỘ LỖ HỔNG PHỐI HỢP

Tiết lộ lỗ hổng bảo mật phối hợp

GoDaddy khuyến khích các nhà nghiên cứu hợp tác với chúng tôi về các vấn đề tiềm tàng trong dịch vụ và trên website của chúng tôi. Nhằm khuyến khích các nhà nghiên cứu hợp tác với chúng tôi, chúng tôi đồng ý rằng nếu, theo quyết định riêng của mình, chúng tôi kết luận rằng một tiết lộ đáp ứng tất cả các nguyên tắc của GoDaddy Chính sách Tiết lộ Phối hợp, GoDaddy sẽ không tiến hành bất cứ hành động pháp lý dân sự hay hình sự nào chống lại bên tiết lộ thông tin.

Các lỗ hổng bảo mật không đủ điều kiện

Bất kỳ miền nào không được bao gồm trong GoDaddy là không thuộc phạm vi của mục đích của Tiết lộ Lỗ hổng bảo mật Phối hợp, cũng như tất cả nội dung khách hàng được lưu trữ và chương trình và trình cắm của bên thứ ba.

Những hành động sau không đủ tiêu chuẩn cho Tiết lộ Phối hợp và người nghiên cứu tham gia Chương trình không nên kiểm tra:

  • Tấn công DoS, tấn công chiếm quyền quản trị brute force, đánh cắp thông tin người dùng hay tấn công DDoS
  • Tấn công vật lý
  • Tấn công giả mạo
  • Lỗi phụ thuộc vào việc lừa đảo qua mạng
  • Tấn công CRIME/BEAST
  • Tấn công giả mạo CSRF
  • Lộ biểu ngữ hay phiên bản
  • Mất bản ghi SPF
  • Danh sách thư mục (trừ khi dữ liệu nhạy cảm có thể được tìm thấy)
  • Kỹ thuật SEO mũ đen
  • Lỗi dựa trên trình duyệt không được cập nhật

GoDaddy sẽ không chấp nhận báo cáo từ các chương trình quét lỗ hổng bảo mật tự động.

Các lỗ hổng bảo mật đủ điều kiện

GoDaddy sẽ chấp nhận báo cáo về bất kỳ lỗ hổng bảo mật nào về cơ bản ảnh hưởng đến bảo mật thông tin hay đến tính toàn vẹn của bất cứ dịch vụ đủ điều kiện nào của GoDaddy. Các lỗi bảo mật đủ điều kiện bao gồm nhưng không giới hạn ở:

  • Tạo kịch bản chéo trang (XSS)
  • Lỗ hổng xác thực và ủy quyền
  • Giả mạo yêu cầu qua trang (CSRF)
  • Thực thi mã từ xa
  • Xâm nhập cơ sở dữ liệu SQL
  • Tấn công thư mục nằm ngoài thư mục gốc
  • Tấn công sửa giao diện người dùng
  • Leo thang đặc quyền

Gợi ý để có báo cáo tốt

  1. Các bước mô phỏng lại lỗi càng chi tiết càng tốt. Cần bao gồm mọi trang mà bạn đã truy cập, ID người dùng, các liên kết được nhấp, v.v.
  2. Các video và hình ảnh luôn hữu ích nhưng thậm chí sẽ còn hữu ích hơn nữa nếu được đính kèm mô tả.
  3. Mã khai thác lỗi hoạt động ổn định có thể cho phép chúng tôi xác nhận lỗ hổng bảo mật của bạn nhanh hơn.
  4. Hãy ghi nhớ – chi tiết, chi tiết, chi tiết!

Tính bảo mật

Mọi thông tin bạn thu thập về nhân viên GoDaddy, GoDaddy hay khách hàng của GoDaddy (“Thông tin bảo mật”) trong Chương trình tiết lộ lỗ hổng bảo mật phối hợp phải được giữ riêng tư và chỉ có thể được sử dụng trong khuôn khổ Chương trình này. Bạn chỉ có thể tiết lộ lỗ hổng bảo mật sau khi đã tìm ra cách khắc phục và bạn không được công khai các Thông tin bảo mật mà không có sự đồng ý bằng văn bản của GoDaddy. Bất cứ việc công khai Thông tin bảo mật nào ngoài phạm vi yêu cầu này sẽ khiến bạn bị loại ngay lập tức khỏi Chương trình.

Pháp lý

Khi tham gia Tiết lộ Lỗ hổng Bảo mật Phối hợp của GoDaddy, bạn xác nhận rằng bạn đã đọc và đồng ý với Thỏa thuận điều khoản dịch vụ chungChính sách về quyền riêng tư của GoDaddy.

Việc kiểm tra lỗi của bạn không được vi phạm pháp luật, làm gián đoạn các dịch vụ hay làm hỏng các dữ liệu không phải của bạn.


Bản dịch của chính sách và thỏa thuận pháp lý được cung cấp chỉ nhằm hỗ trợ để đọc và hiểu phiên bản tiếng Anh. Mục tiêu của việc cung cấp bản dịch cho chính sách và thỏa thuận pháp lý không phải là để tạo thêm thỏa thuận ràng buộc về mặt pháp lý và không nhằm để thay thế tính hiệu lực về mặt pháp lý của phiên bản tiếng Anh. Trong tường hợp có tranh chấp hoặc mâu thuẫn, trong mọi trường hợp, phiên bản tiếng Anh của chính sách và thỏa thuận pháp lý này sẽ chi phối mối quan hệ của chúng tôi và sẽ phủ quyết các điều khoản ở ngôn ngữ khác.