VULNÉRABILITÉS HORS PORTÉE

Lorsque vous signalez des vulnérabilités, veuillez prendre en compte (1) le scénario d'attaque / l'exploitabilité et (2) l'impact du bogue sur la sécurité. Les problèmes suivants sont considérés comme hors de portée :

Clickjacking sur des pages sans actions sensibles
Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou des formulaires sans actions sensibles
Attaques nécessitant MITM ou un accès physique à l'appareil d'un utilisateur.
Bibliothèques vulnérables précédemment connues sans preuve de concept fonctionnelle.
Injection de valeurs séparées par des virgules (CSV) sans démontrer de vulnérabilité.
Meilleures pratiques manquantes dans la configuration SSL/TLS.
Toute activité pouvant entraîner une interruption de notre service (DoS).
Problèmes d'usurpation de contenu et d'injection de texte sans montrer de vecteur d'attaque/sans pouvoir modifier HTML/CSS
Problèmes de limitation de débit ou de force brute sur les points de terminaison sans authentification
Meilleures pratiques manquantes dans la politique de sécurité du contenu.
Meilleures pratiques relatives aux e-mails manquants (enregistrements SPF/DKIM/DMARC non valides, incomplets ou manquants, etc.)
Vulnérabilités affectant uniquement les utilisateurs de navigateurs obsolètes ou non corrigés [Moins de 2 versions stables derrière la dernière version stable publiée]
Divulgation de la version du logiciel / Problèmes d'identification de la bannière / Messages d'erreur ou en-têtes descriptifs (par exemple, traces de pile, erreurs d'application ou de serveur)
Les vulnérabilités publiques Zero-day qui ont eu un correctif officiel depuis moins d'un mois seront attribuées au cas par cas.
Tabnabbing et typosquatting
Redirection ouverte - sauf si un impact supplémentaire sur la sécurité peut être démontré
Problèmes nécessitant une interaction peu probable de l'utilisateur
Abus de code promotionnel