##################
## OUT OF SCOPE ##
##################
# Part of security.txt/CVD

- Resource uitputting / (Distributed) Denial of Service.
- Social Engineering.
- Fysieke aanvallen (in persoon).
- Situaties die niet kunnen worden gereproduceerd.
- Exploits die niet worden gevalideerd met een tweede methode/tool tool a zegt kwetsbaar, tool B zegt prima.
- Cosmetische issues, bv ziet er niet goed uit in browser A. Deze kan je wel melden via de contactpagina maar vallen buiten CVD.
- Situaties op gebruikersvlak, bijvoorbeeld een exploit waarbij de werkplek onbeheerd is gelaten, klik en/of toetsencombinaties.
- Simpele opsommingen en versienummers van OS, services en poorten.
- Publiekelijk beschikbare bestanden die als publiekelijk zijn geclassificeerd.
- TLS misconfiguratie zonder proof of concept deze kwetsbaarheid te kunnen misbruiken.
- E-mail adressen gevonden bij een datalek bij een derde partij.
- Kwetsbaarheden waarvoor in de laatste 2 weken een patch is vrijgegeven.
- URL redirects naar een geldige pagina.
- Lokale content spoofing / clickjacking
- Vermelding van publiekelijk geregistreerde IP adressen
- Publieke bestanden en informatie lekkage in de metadata
- Missende security headers, options en flags
- Veroudere versies die een aantoonbare exploitatie mogelijkheid / proof of concept missen.

Nog niet van toepassing maar ook buiten scope:
- Missende HTTP-only flag op cookies die geen gevoelige informatie bevatten.
- Niet complete of missende SPF, DKIM of DMARC records.
- Diensten draaiende bij derde partijen. Raadpleeg hierbij vooraf hun eigen responsible disclosure pagina voordat je tegen problemen aanloopt.