Что не претендует на вознаграждение?
Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS;
CSRF и XSS без воздействия на чувствительные данные;
Отсутствие рекомендованных механизмов защиты* (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);
Ошибки в настройке CORS*;
Использование устаревшего или потенциально уязвимого стороннего ПО*;
Атаки, связанные с мошенничеством или кражей;
Возможность неограниченной отправки СМС и email;
Атаки типа DOS*;
Небезопасно сконфигурированные TLS или SSL*;
Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;
Full Path Disclosure;
Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stacktrace);
Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);
Подмена контента на странице;
Tabnabbing;
Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве;
Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing);
Маловероятные или теоретические атаки без доказательств возможности их осуществления
* — без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.
Last updated