Appearance
Что не претендует на вознаграждение?
- Self-XSS, XSS в непопулярных или устаревших браузерах, Flash-based XSS;
- CSRF и XSS без воздействия на чувствительные данные;
- Отсутствие рекомендованных механизмов защиты* (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF);
- Ошибки в настройке CORS*;
- Использование устаревшего или потенциально уязвимого стороннего ПО*;
- Атаки, связанные с мошенничеством или кражей;
- Возможность неограниченной отправки СМС и email;
- Атаки типа DOS*;
- Небезопасно сконфигурированные TLS или SSL*;
- Разглашение информации о существовании в системе данного имени пользователя, email или номера телефона;
- Full Path Disclosure;
- Разглашение технической или нечувствительной информации* (например, версии продукта или используемого ПО, stacktrace);
- Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации);
- Подмена контента на странице;
- Tabnabbing;
- Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем;
- Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root-прав или jailbreak на устройстве;
- Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth, Wi-Fi и shoulder surfing);
- Маловероятные или теоретические атаки без доказательств возможности их осуществления
* — без детального описания вектора атаки и доказательств потенциального нанесения ущерба или вреда.