Vous pouvez signaler pratiquement tous les problèmes potentiels pouvant compromettre la sécurité d'eBay ou de nos clients. Nous excluons cependant du programme les problèmes suivants, sauf si vous parvenez à démontrer qu'ils peuvent être exploités :
- Vulnérabilités du protocole SSL liées à la configuration ou à la version
- Déni de service (DdS)
- Énumération des utilisateurs et attaque en force (par exemple, sur la page de connexion et de mot de passe oublié)
- Problèmes présents uniquement dans les versions antérieures de navigateurs, de plugiciels ou de tout autre logiciel
- Méthode de suivi HTTP activée
(sauf si vous parvenez à lancer une attaque)
- Détournement de clic vers des pages sans changement des authentifiants ou du niveau de confidentialité
- Piratage psychologique et hameçonnage
- Usurpation de contenu
- Attaque de type XSS (les problèmes de script intersites de types réfléchis, stockés ou basés sur le DOM devraient pouvoir être exploités)
- Déconnexion ou autres situations de falsification de requête intersites à faible niveau de gravité
- En-têtes HTTP manquants
- Indicateurs de témoins manquants en présence de témoins
- Complexité du mot de passe et complexité du processus de réinitialisation du mot de passe
- Enregistrements SPF (Sender Policy Framework) non valides ou manquants
- Divulgation d'une bannière ou d'une version de logiciel
(si vous parvenez à fournir une preuve de concept exploitable)
- Résultats d'outils ou de numériseurs automatisés
- Attribut de saisie semi-automatique dans les formulaires en ligne
- Vulnérabilités nécessitant l'utilisation d'un appareil débridé
