GoDaddy
นโยบายการเปิดเผยอย่างมีความรับผิดชอบของ GoDaddy และโปรแกรม Bug Bounty

10 ธันวาคม 2015

นโยบายการเปิดเผยอย่างมีความรับผิดชอบของ GoDaddy และโปรแกรม Bug Bounty

นโยบายการเปิดเผยอย่างมีความรับผิดชอบ:

GoDaddy ส่งเสริมให้มีการเปิดเผยความเสี่ยงด้านความปลอดภัยในบริการของเราหรือบนเว็บไซต์ของเราอย่างมีความรับผิดชอบ เพื่ออำนวยความสะดวกการเปิดเผยความเสี่ยงด้านความปลอดภัยอย่างมีความรับผิดชอบ โดยวิจารณญาณของเราแต่เพียงผู้เดียว เราตกลงว่า หากเราได้บทสรุปว่าการเปิดเผยเป็นไปตามแนวทางของโปรแกรม Bug Bounty ของ GoDaddy ทาง GoDaddy จะไม่ดำเนินมาตรการทางกฎหมายทั้งทางแพ่งหรืออาญากับบุคคลที่เปิดเผย

โปรแกรม Bug Bounty

GoDaddy มอบเงินรางวัลให้กับการเปิดเผยความเสี่ยงด้านความปลอดภัยอย่างมีความรับผิดชอบที่ตรงตามคุณสมบัติ โปรแกรม Bug Bounty ของเราทำงานดังนี้

ขอบเขตการให้บริการ:

เฉพาะบริการเว็บ www.godaddy.com และ sso.godaddy.com web เท่านั้นที่อยู่ในขอบข่ายโปรแกรม Bug Bounty ของ GoDaddy

ความเสี่ยงที่ตรงตามคุณสมบัติ:

GoDaddy จะยอมรับรายงานทุกความเสี่ยงที่มีผลกระทบต่อการเก็บรักษาข้อมูลที่เป็นความลับหรือความสมบูรณ์ของบริการ GoDaddy ที่มีสิทธิ์เป็นอย่างมาก ความเสี่ยงที่มีสิทธิ์รวมถึงแต่ไม่จำกัดเฉพาะ

  • Cross Site Scripting(XSS)

  • ข้อบกพร่องด้านการตรวจสอบความถูกต้องและการอนุญาต

  • Cross Site Request Forgery(CSRF

  • การจัดการรหัสจากระยะไกล

  • การแทรก SQL

  • การแวะผ่านของข้อมูลในสารบบ

  • การเชื่อมต่อคลิก

  • การเพิ่มระดับสิทธิพิเศษ 

ความเสี่ยงที่ไม่มีสิทธิ์:

โดเมนที่ไม่อยู่ใน www.godaddy.com หรือ sso.godaddy.com ไม่อยู่ในขอบข่ายของโปรแกรม Bug Bounty เช่นเดียวกับเนื้อหาลูกค้าที่โฮสต์และโปรแกรมและปลั๊กอินของบุคคลที่สามทั้งหมด

การดำเนินการต่อไปนี้ไม่เหมาะสำหรับโปรแกรม Bug Bounty และไม่ควรได้รับการทดสอบโดยผู้ค้นคว้าที่เข้าร่วมโปรแกรม:

  • DoS, การบังคับที่ไม่มีเหตุผล, การนับจำนวนผู้ใช้หรือการโจมตี D DoS

  • การโจมตีเชิงกายภาพ

  • การโจมตีฟิชชิ่ง

  • บั๊กที่ขึ้นอยู่กับวิศวกรรมสังคม

  • การโจมตีแบบอชาญากรรม/รุนแรง

  • ออกจากระบบ CSRF

  • การเปิดเผยแบนเนอร์หรือเวอร์ชั่น

  • บันทึกข้อมูล SPF ที่หายไป

  • รายชื่อข้อมูลในสารบบ (เว้นแต่จะพบข้อมูลที่ละเอียดอ่อน)

  • เทคนิค SEO หมวกดำ

  • บั๊กที่ขึ้นอยู่กับเบราว์เซอร์ล้าสมัย

GoDaddy จะไม่ยอมรับรายงานจากสแกนเนอร์ความเสี่ยงอัตโนมัติ

เงินรางวัล:

ทีม Bug Bounty ของ GoDaddy มีสิทธิ์แต่เพียงผู้เดียวในการตัดสินเรื่องเงินรางวัลทั้งหมดโดยพิจารณาจากความรุนแรงของความเสี่ยงที่ได้รับรายงาน หากมีการให้รางวัล เงินรางวัลขั้นต่ำที่มอบให้คือห้าสิบดอลลาร์ ($50.00) จะมีการมอบเงินรางวัลหนึ่ง (1) ครั้งต่อบั๊กความปลอดภัยหนึ่งรายการเท่านั้น ผู้ค้นพบคนแรกที่เปิดเผยบั๊กที่พบอย่างน่าเชื่อถือจะเป็นผู้ได้รับรางวัล

การตรวจสอบและการรายงาน:

นักวิจัยด้านความปลอดภัยที่ส่งข้อมูลความเสี่ยงต้องตรวจสอบอย่างถี่ถ้วนและยืนยันความเสี่ยงนั้นก่อนที่จะส่งข้อมูล ทุกการส่งข้อมูลต้องประกอบด้วยสิ่งต่อไปนี้:

  1. ขั้นตอนการทำซ้ำความเสี่ยงนั้น และ

  2. รายละเอียดที่ชัดเจนของบัญชีที่ใช้ในรายงานของคุณและความสัมพันธ์ระหว่างบัญชีเหล่านั้น

หากคุณต้องการรายงานความเสี่ยง กรุณาทำตามขั้นตอนที่อธิบายไว้ในบทความนี้ในศูนย์ช่วยเหลือ GoDaddy

ข้อเสนอแนะสำหรับการทำรายงานที่ดี:

  1. ยิ่งคุณบรรยายขั้นตอนการทำซ้ำบั๊กละเอียดมากเท่าใด ยิ่งดีขั้นเท่านั้น ซึ่งควรต้องมีข้อมูลเกี่ยวกับหน้าที่คุณเข้าชม ID ผู้ใช้ ลิงค์ที่คลิก และอื่นๆ

  2. วิดีโอและภาพเป็นข้อมูลที่มีประโยชน์ แต่จะมีประโยชน์มากยิ่งขึ้นหากส่งมาพร้อมกับคำบรรยาย

  3. การใช้รหัสที่ทำงานอย่างสม่ำเสมอช่วยให้เราสามารถตรวจสอบความเสี่ยงของคุณได้รวดเร็วยิ่งขึ้น

  4. จำไว้ว่า – ต้องมีรายละเอียด รายละเอียด รายละเอียด!

การรักษาข้อมูลที่เป็นความลับ:

ข้อมูลใดๆ ที่คุณรวบรวมเกี่ยวกับ GoDaddy พนักงานของ GoDaddy หรือลูกค้าของ GoDaddy (“ข้อมูลลับ”) ผ่านทางโปรแกรม Bug Bounty ต้องถูกเก็บรักษาเป็นความลับและสามารถนำไปใช้เฉพาะที่เกี่ยวข้องกับโปรแกรมเท่านั้น คุณอาจเปิดเผยความเสี่ยงต่างๆ หลังจากที่มีการไกล่เกลี่ยใหม่ที่เหมาะสมแล้วเท่านั้นและคุณไม่สามารถเปิดเผยข้อมูลลับหากไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจาก GoDaddy ล่วงหน้า การเปิดเผยข้อมูลลับที่อยู่นอกเหนือข้อกำหนดนี้จะส่งผลให้ถูกปลดออกจากโปรแกรมทันที

ด้านกฎหมาย:

การที่คุณเข้าร่วมโปรแกรม Bug Bounty ของ GoDaddy ถือว่า คุณยอมรับว่าคุณได้อ่านและยอมรับ ข้อตกลงเงื่อนไขการให้บริการสากล และ นโยบายความเป็นส่วนตัวของ GoDaddy

การทดสอบของคุณต้องไม่ละเมิดกฎหมาย ขัดขวางบริการ หรือเปิดเผยข้อมูลที่ไม่ใช่ของคุณ

คุณต้องรับผิดชอบแต่เพียงผู้เดียวสำหรับภาษีที่เกี่ยวข้องหรือภาษีซ้อนทั้งหมดเกิดจากหรือเกี่ยวข้องกับการที่คุณเข้าร่วมในโปรแกรม Bug Bounty ของ GoDaddy รวมถึงรางวัลที่ได้รับ

GoDaddy อาจใช้ผู้ให้บริการซึ่งเป็นบุคคลที่สามดูแลจัดการโปรแกรม Bug Bounty หากเป็นเช่นนั้น ให้ข้อกำหนดและเงื่อนไขของผู้ให้บริการมีผลบังคับใช้

บุคคลธรรมดาหรือนิติบุคคลที่อยู่ในรายชื่อผู้ถูกลงโทษของสหรัฐอเมริกา หรืออยู่ในประเทศหรือภูมิภาคที่อยู่ในรายชื่อผู้ถูกลงโทษของสหรัฐอเมริกาไม่สามารถรับเงินรางวัลสำหรับการรายงานบั๊ก

การตัดสินว่าควรให้รางวัลหรือไม่นั้นเป็นดุลยพินิจของ GoDaddy แต่เพียงผู้เดียวเท่านั้น

โปรแกรมนี้เป็นโปรแกรมรางวัลที่ต้องได้รับการพิจารณา โปรแกรมอาจถูกยกเลิกในเวลาใดก็ได้


ปรับปรุง: 10/12/2015
ลิขสิทธิ์ © 2015 GoDaddy.com, LLC สงวนลิขสิทธิ์