Atsakingas pažeidžiamumų atskleidimas

• Visada elkitės sąžiningai – nedarykite veiksmų, kurie pažeistų privatumą arba trikdytų mūsų paslaugų veikimą. Tai reiškia, kad turite vengti neleistinos prieigos, duomenų naikinimo ar paslaugos veikimo trikdymo. Privalote laikytis galiojančių įstatymų, ypač susijusių su neleistinu prieigos gavimu.
• Jei aptikote pažeidžiamumą, naudokite jį tik demonstravimui — niekada nebandykite to daryti su kitų vartotojų paskyromis ar be raštiško sutikimo. Įvertinkite galimą riziką, pvz., jautrios informacijos atskleidimą ar neteisėtą prieigą prie kitų paskyrų.
• Nenaudokite automatinių nuskaitymo įrankių.
• Netestuokite Trustly biurų, darbuotojų ar įrenginių fizinio saugumo.
• Socialinė inžinerija (pvz., phishingas) yra draudžiama.
• Nevykdykite DoS ar DDoS atakų.
• Neatskleiskite informacijos apie pažeidžiamumus be aiškaus Trustly leidimo.
• Mes vedame tyrėjų, kurie pateikė pagrįstus pranešimus, sąrašą. Įtraukimas yra savanoriškas. Pasiliekame teisę apriboti viešai rodomą informaciją.

Domimės tik Trustly Group AB ar Trustly Inc. valdomų domenų ar IP adresų pažeidžiamumais. Patikrinkite WHOIS informaciją.

Šie pažeidžiamumai visada yra už aprėpties ribų (neišsamus sąrašas):

• HTTP klaidų puslapiai (pvz., 404)
• Banner footprinting viešose paslaugose
• Vieši failai, pvz., robots.txt
• Clickjacking
• CSRF be autentifikacijos
• Logout-CSRF
• Naršyklės automatinis slaptažodžių išsaugojimas
• Nesvarbios slapukai be secure/HttpOnly
• HTTP OPTIONS metodas leidžiamas
• trustly.com el. pašto adresų išvardijimas
• Trūksta HTTP antraščių, pvz.:
  a. Strict-Transport-Security
  b. X-Frame-Options
  c. X-XSS-Protection
  d. X-Content-Type-Options
  e. Content-Security-Policy
• SSL/TLS pažeidžiamumai kaip BEAST, BREACH
• Paprastos teksto injekcijos be HTML/CSS
• Silpni slaptažodžių reikalavimai
• Netinkama DMARC, SPF, DKIM konfigūracija
• Sąrašas nėra baigtinis.