POLÍTICA DE DIVULGACIÓN DE VULNERABILIDAD COORDINADA

GoDaddy alienta a los investigadores a trabajar con nosotros en los problemas potenciales en nuestros servicios o en nuestro sitio web. Con el fin de alentar a los investigadores a trabajar con nosotros, aceptamos que si, a nuestra exclusiva discreción, concluimos que una divulgación cumple con todas las pautas de la política de Divulgación coordinada de GoDaddy, GoDaddy no presentará ninguna demanda privada ni penal contra la parte que divulga.

Cualquier dominio que no se encuentre en GoDaddy se encuentra fuera del ámbito a los fines de la Divulgación de vulnerabilidad coordinada, ya que se ocupa solo del contenido alojado del cliente, y programas y complementos de terceros.

Las siguientes acciones no califican para la Divulgación coordinada, y los investigadores que participan en el Programa no las deben probar:

• DoS, fuerza bruta, enumeración de usuarios o ataques de DDoS
• Ataques físicos
• Ataques de fraude electrónico
• Cualquier error que dependa de la ingeniería social
• Ataques de CRIME/BEAST
• Salir de CSRF
• Banners o divulgación de versiones
• Registros de SPF que faltan
• Lista de directorio (a menos que se puedan encontrar datos confidenciales)
• Técnicas de SEO de sombrero negro
• Cualquier error que dependa de un navegador desactualizado

GoDaddy no aceptará informes de escáneres automáticos de vulnerabilidad.

GoDaddy aceptará un informe de cualquier vulnerabilidad que afecte considerablemente la confidencialidad o la integridad de cualquier servicio elegible de GoDaddy. Las vulnerabilidades elegibles incluyen, entre otras:

• Secuencia de comando entre sitios (XSS)
• Errores de autenticación y autorización
• Falsificación de petición en sitios cruzados (CSRF)
• Ejecución de códigos remotos
• Inyección de SQL
• Recorrido de directorios
• Apropiación mediante clics
• Escalación de privilegio

1. Cuanto más detallados sean los pasos para reproducir el error, mejor. Esto debe incluir las páginas que visitó, las ID de los usuarios, los enlaces en los que hizo clic, etc.
2. Los videos y las imágenes siempre son útiles, pero son incluso más útiles si están acompañados por una descripción.
3. Un código de vulnerabilidad que funcione de manera sistemática puede permitirnos verificar su vulnerabilidad más rápidamente.
4. ¡Recuerde: detalles, detalles, detalles!

Toda la información que recopile acerca de GoDaddy, los empleados de GoDaddy o los clientes de GoDaddy(“Información confidencial”) a través del programa de Divulgación de vulnerabilidad coordinada debe ser confidencial y solo se debe usar en relación con el Programa. Solo puede divulgar las vulnerabilidades después de que se hayan tomado las medidas correctivas adecuadas, y usted no puede divulgar la Información confidencial sin el previo consentimiento por escrito de GoDaddy. Toda divulgación de la Información confidencial fuera de este requisito dará como resultado la eliminación inmediata del Programa.

Si participa en la Divulgación de vulnerabilidad coordinada de GoDaddy, usted reconoce que ha leído y acepta el Contrato de Términos universales del servicio y la Política de privacidad de GoDaddy.

Su prueba no debe violar las leyes, interrumpir los servicios ni comprometer los datos que no sean suyos.