Atbildīga ievainojamību atklāšana

• Lūdzu, rīkojieties godprātīgi un izvairieties no jebkādas iejaukšanās lietotāju privātumā vai mūsu pakalpojumu darbības traucējumiem. Tas nozīmē – neautorizētas piekļuves, datu bojāšanas vai pakalpojuma darbības pasliktināšanas novēršana. Ievērojiet piemērojamos likumus un noteikumus, īpaši tos, kas attiecas uz nesankcionētu piekļuvi datiem.
• Ja atklājat ievainojamību, izmantojiet to tikai tās demonstrēšanai — nekad neizmēģiniet to ārpus sava konta vai bez skaidri izteiktas konta īpašnieka rakstiskas atļaujas. Ņemiet vērā potenciālos riskus, piemēram, sensitīvas informācijas noplūdi vai piekļuvi citu lietotāju kontiem.
• Nelietojiet automatizētus skenēšanas rīkus.
• Nepārbaudiet Trustly biroju, darbinieku vai ierīču fizisko drošību.
• Sociālā inženierija (piemēram, pikšķerēšana) nav atļauta.
• Neveiciet DoS vai DDoS uzbrukumus.
• Neizpaudiet informāciju par ievainojamībām bez Trustly atļaujas.
• Uzturam sarakstu ar pētniekiem, kas ir ziņojuši par derīgām ievainojamībām. Iekļaušana šajā sarakstā ir brīvprātīga. Mēs paturam tiesības ierobežot publiskojamo informāciju.

Mūs interesē tikai ievainojamības, kas ietekmē Trustly Group AB vai Trustly Inc. piederošos domēnus un IP adreses. Lūdzu, pārbaudiet WHOIS informāciju.

Šādas ievainojamības vienmēr tiek uzskatītas par ārpus tvēruma (nepilnīgs saraksts):

• HTTP kļūdu lapas, piemēram, 404
• Banner footprinting publiskos pakalpojumos
• Zināmi publiski faili, piemēram, robots.txt
• Clickjacking
• CSRF bez autentifikācijas
• Logout-CSRF
• Automātiska paroles saglabāšana pārlūkā
• Nesensitīvas sīkdatnes bez secure vai HttpOnly
• HTTP OPTIONS metode pieejama
• trustly.com e-pastu uzskaitījums
• Trūkstošas HTTP galvenes, piemēram:
• Strict-Transport-Security
• X-Frame-Options
• X-XSS-Protection
• X-Content-Type-Options
• Content-Security-Policy
• SSL/TLS ievainojamības kā BEAST, BREACH
• Teksta injekcijas bez HTML/CSS
• Vāji paroles noteikumi
• Nepareiza DMARC, SPF, DKIM konfigurācija
• Šis saraksts nav izsmeļošs.