Дядька Серёжа

Напрямую в коде SVG файла прописать нужный формате советуют все онлайн инструкции.

Хакер может заставить Васю понизить версию TLS и прочитать таким образом зашифрованный трафик. Это первое что пришло в голову.

WAF, повысить порог у ReCAPTCHA (надеюсь у вас версия 3 либо энтерпрайз, а не тупая кликалка картинок), реализовать проверку в коде, добавить проверку email, указываемого при регистрации. Банить по useragent и IP в геометрическо прогрессии на каждые 3 любые ошибки с одного useragent+IP для одной учетки.
Как вариант если реально видно что набирают руками, то надоест набивать, почты генерировать, менять ip и user agent. Прикрутить машинное обучение. Внедрить JS от Group IB или яндекса. Да много чего есть, просто вы хотите волшебный плагин, может он и есть, я не спорю.

Скорее попытка подставить. Либо да email bombing.

Nope, https://habr.com/ru/post/588705/

Стоит, все что выше low некоторые компании не устраняют сразу при написании кода, оставляют в бэклоге до свободных времен если AppSec ручками не докажет обратное

Не вижу где тут инъекцию вставить, нет места для пользовательского ввода, вероятно если его найти (он влияет на эту функцию ранее), то атакующему понятно какую инъекцию подобрать.

Error handling reveals stack traces or other overly informative error messages to users.

См. OWASP TOP 5
Например, если в интерфейсе кассы есть поле для поиска событий журнала по message_id и предполагается что пользователю message_id известе, а само поле не обладает защитой от инъекций, то вместо цифры атакующий может вписать инъекцию

Полная переустановка ОС

Если вы задаете такой вопрос, со 100% вероятностью у вас ничего не получится. Но вы можете разместить объявление на бирже фриланса, может кто откликнется на вашу просьбу за не хилую сумму ₽

В университете, университетских группах в социальных сетях

Написать свой запускатор-прокси-сервер?

Вам требуется средство сбора логов (например, sysmon+nxlog), SIEM для корреляции и просмотра событий и IRP для расследования инцидентов.

карта российского рынка иб

Решения класса EDR

Привет!
Если из сканирования то вот есть такая инструкция:

Verizon Internet Security Suite Powered by McAfee®
Exclude a folder

You can exclude a folder from your custom or scheduled scan so McAfee doesn't check it for threats.

1 On the HomePage, open the Virus and Spyware Protection drawer.
2 Do one of the following:
• To exclude an item from your custom scan, click Scan Your PC, then click Run a custom scan.
• To exclude an item from your scheduled scan, click Scheduled Scan.
3 Open the Excluded Files and Folders drawer.
4 Click Add Folder.
5 Choose the file you want to exclude from your scan, then click Open.
Excluding items from your scans
Copyright © 2011 McAfee, Inc. All Rights Reserved.

Можно просить пользователя прикрепить запись видео с развернутым паспортом и просить его произнести фразу: «я ФИО ДАННЫЕ ПАСПОРТА меняю номер с такого-то на такой-то, секретная фраза», секретная фраза генерируется в момент запроса смены номера телефона и отображается на форме прикрепления видео. Разбирать такие задачки придется руками.

Ну да - просить других, либо если модель позволяет, то работнику можно выдать несколько мандатов разного уровня.
Возможно при выборе модели нужно выбирать другую в которой это можно если очень нужно, тогда что-то другое станет нельзя.

JSON Web Tokens

Если вы уже в такой компании и у компании уже есть разрешение на работу с ГТ, можно спокойно обращаться в ФСБ и ФСТЭК за консультациями и правом ознакомления с нормативкой если ее нет в организации.