• Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS;

• CSRF и XSS без воздействия на чувствительные данные;

• Отсутствие рекомендованных механизмов защиты* (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);

• Ошибки в настройке CORS*;

• Использование устаревшего или потенциально уязвимого стороннего ПО*;

• Атаки, связанные с мошенничеством или кражей;

• Возможность неограниченной отправки СМС и email;

• Атаки типа DOS*;

• Небезопасно сконфигурированные TLS или SSL*;

• Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;

• Full Path Disclosure;

• Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stacktrace);

• Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);

• Подмена контента на странице;

• Tabnabbing;

• Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;

• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве;

• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing);

• Маловероятные или теоретические атаки без доказательств возможности их осуществления

* — без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.