05 aprile 2016
Politica di divulgazione responsabile e Programma di premi sui bug GoDaddy
Politica di divulgazione responsabile:
GoDaddy incoraggia la divulgazione responsabile di vulnerabilità di sicurezza nei propri servizi o sul proprio sito web. Per facilitare la divulgazione responsabile di vulnerabilità di sicurezza, GoDaddy accetta che se, a sua esclusiva discrezione, conclude che una divulgazione è conforme alle linee guida del Programma di premi sui bug di GoDaddy, non intraprenderà alcuna azione giudiziaria o privata contro la parte divulgante.
Programma di premi sui bug
GoDaddy offre dei premi monetari per la divulgazione responsabile di determinate vulnerabilità di sicurezza accettate. Il Programma di premi sui bug funziona come segue
Servizi pertinenti:
Ai fini del Programma di premi sui bug di GoDaddy, possono ritenersi pertinenti solo i servizi web sso.godaddy.com e www.godaddy.com.
Vulnerabilità accettate:
GoDaddy accetterà la segnalazione di qualsiasi vulnerabilità che influisce notevolmente sulla riservatezza o sull'integrità di qualsiasi servizio qualificato di GoDaddy. Le vulnerabilità qualificate includono, ma non sono limitate a:
-
Attacchi tramite script da altri siti (XSS, Cross-Site Scripting)
-
Vulnerabilità di autenticazione e autorizzazione
-
Richiesta intersito falsa (CSRF, Cross-Site Request Forgery)
-
Esecuzione codice remota
-
SQL injection
-
Attraversamento directory
-
Clickjacking
-
Riassegnazione di privilegi
Vulnerabilità non accettate:
I domini non contenuti in www.godaddy.com o sso.godaddy.com non sono pertinenti ai fini del Programma di premi sui bug, poiché si tratta di plug-in e programmi di terzi, nonché di contenuto interamente ospitato dal cliente.
Le seguenti azioni non danno diritto al compenso previsto dal Programma di premi sui bug e non devono essere testate dai ricercatori che partecipano al programma:
-
DoS, forzature, enumerazione utenti o attacchi DDoS
-
Attacchi fisici
-
Attacchi phishing
-
Qualsiasi bug basato su ingegneria sociale
-
Attacchi BEAST (Browser Exploit Against SSL/TLS)/CRIME (Compression Ratio Info-Leak Mass Exploitation)
-
CSRF per disconnessione
-
Divulgazioni di versioni o banner
-
Record SPF mancanti
-
Visualizzazione directory (a meno che non siano presenti dati sensibili)
-
Tecniche scorrette per l'Ottimizzazione del motore di ricerca (Black Hat SEO)
-
Qualsiasi bug basato su un browser obsoleto
GoDaddy non accetterà le segnalazioni provenienti da scanner di vulnerabilità automatici.
Premi:
Tutti i premi saranno assegnati a discrezione del Team dei premi sui bug di GoDaddy, in base alla gravità della vulnerabilità segnalata. Se viene corrisposto un premio, l'importo minimo di esso sarà pari a cinquanta dollari ($50.00). Per ogni bug di sicurezza verrà assegnato solo un (1) premio. I premi verranno assegnati al primo ricercatore che divulga responsabilmente un particolare bug.
Indagine e segnalazione:
Il ricercatore di sicurezza che invia una segnalazione di vulnerabilità deve controllare e confermare la vulnerabilità prima di presentarla. Tutte le segnalazioni devono includere quanto segue:
-
I passaggi per riprodurre la vulnerabilità e
-
Una chiara descrizione di eventuali account utilizzati nella segnalazione, nonché eventuali relazioni tra essi.
Pr segnalare una vulnerabilità, seguire il processo descritto in questo articolo nel Centro assistenza di GoDaddy.
Suggerimenti per buone segnalazioni:
-
I passaggi per la riproduzione del bug dovrebbero essere più dettagliati possibile. Essi dovrebbero includere tutte le pagine visitate, gli ID utente, i collegamenti su cui si è fatto clic e così via.
-
Video e immagini sono sempre utili, ma lo sono ancora di più se sono accompagnati da descrizioni.
-
Il codice di exploit che funzioni in maniera coerente può aiutarci a verificare la vulnerabilità in tempi più brevi.
-
E poi: dettagli, dettagli e ancora dettagli!
Riservatezza:
Qualsiasi informazione si raccolga su GoDaddy, i suoi dipendenti o i suoi clienti (“Informazioni confidenziali”) mediante il Programma di premi sui bug deve essere trattata in maniera riservata e può essere utilizzata solo in relazione al programma. È possibile divulgare le vulnerabilità solo a seguito di un'appropriata classificazione e non è consentito divulgare le Informazioni confidenziali senza il consenso scritto di GoDaddy. Eventuali divulgazioni delle Informazioni confidenziali non conformi ai requisiti verranno immediatamente rimosse dal programma.
Avvisi legali:
Partecipando al Programma di premi sui bug di GoDaddy, confermi di avere letto e di approvare i Termini di utilizzo universali del contratto di assistenza e la Politica sulla privacy di GoDaddy.
L'indagine non deve violare le leggi, interrompere i servizi o compromettere dati non di proprietà dell'utente.
L'utente è il solo responsabile delle applicabili imposte o ritenute derivanti o correlate alla partecipazione al Programma di premi sui bug di GoDaddy, inclusi eventuali riconoscimenti corrisposti.
GoDaddy potrebbe ricorrere a service provider di terzi per gestire il Programma di premi sui bug. In questo caso, si applicano termini e condizioni del provider.
I premi sui bug non verranno assegnati a persone o entità presenti negli elenchi delle sanzioni USA o che si trovano in paesi o regioni presenti negli elenchi delle sanzioni USA.
La decisione di corrispondere un premio resta ad assoluta discrezione di GoDaddy.
Questo è un programma a premi discrezionale. E può essere annullato in qualsiasi momento.
|