0.4　限制和排除

在没有特定授权文件规定的情况下，测试人员应默认不执行拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击。从经验来看，此类攻击的授权执行情况实属罕见。当获得DoS攻击授权时，通常会在正式文件中明确说明。此外，除非特定项目需求，渗透测试与社会工程学实践通常相互独立。同时，在渗透测试中，应始终检查你是否可以使用社会工程学攻击（如语音网络钓鱼、短信网络钓鱼）的可行性。

在默认情况下，漏洞赏金计划都不会接受针对社会工程学攻击、DoS或DDoS攻击、攻击客户以及访问客户数据的尝试。在特定情况下，当允许对用户实施攻击时，通常建议采取创建多个账户的策略，并在适当的时间对自身的测试账户展开攻击。

此外，部分程序或客户可能会详细阐述已知的问题。API的某些方面可能被视为安全问题，但也可能是为了提供便利而设的功能。例如，密码找回功能可能会展示一条信息，告知终端用户其电子邮件地址或密码是否错误。然而，这一功能也可能赋予攻击者暴力破解有效用户名和电子邮件地址的权限。组织可能已决定接受这一风险，并不愿对其进行修正。

请在合同中的任何排除或限制方面保持谨慎。针对API，程序可能允许测试特定部分，同时可能限制某些路径。例如，银行API提供商可能与第三方共享资源，未经授权不允许测试。因此，他们可能会明确指出可以攻击 /api/accounts端点，但禁止攻击/api/shared/accounts。或者，目标的身份验证过程可能通过未被授权攻击的第三方进行。你需要密切关注测试范围，以便进行合法的授权测试。