Проверяйте только свои сайты или цели с письменным разрешением. Если сайт принадлежит клиенту, зафиксируйте scope и допустимые проверки заранее.
Не запускайте агрессивные payload-атаки, подбор паролей, DoS или обход WAF. Для первичного аудита часто достаточно пассивных сигналов и безопасного crawler.
Храните отчеты аккуратно: в них могут быть внутренние пути, контакты, версии серверов и другие данные, которые не стоит публиковать.