Vous avez découvert une vulnérabilité ?

Partagez votre expérience avec nous.

La sécurité n'est pas un état immuable mais un processus.
Vous avez donc la possibilité de nous informer à tout moment une vulnérabilité des produits ou des ressources ESET.
Il suffit de nous envoyer un e-mail à security@eset.com.

Comment pouvez-vous nous informer d'une vulnérabilité


Chaque message est une priorité pour nous. C’est pour cette raison que nous examinons le cas le plus rapidement possible, et directement avec l'émetteur. Merci de nous envoyer tous les messages en anglais par e-mail à : security@eset.com et mentionnez les informations suivantes :

  • La cible – à l'aide de l'adresse IP, du serveur, Hostname, URL, etc... ou le produit ESET, y compris le numéro de version (pour déterminer le numéro de version, s'il vous plaît visitez notre KnowledgeBase)
  • Nature du problème – le type de vulnérabilité (en conformité avec OWASP, tels que les  Cross-Site-Scripting, débordement de mémoire tampon, injection SQL, etc.), y compris une description générale du problème.
  • Proof-of-Concept et/ou URL démontrant la vulnérabilité – une démonstration de la vulnérabilité qui montre ses fonctionnalités. Voici quelques exemples :
    ●  URL contenant un Payload –  par exemple, XSS dans les paramètres de la requête  GET – e.g. XSS in GET request parameters
    ●  Lien vers un Checker général - par exemple, vulnérabilités SSL – e.g. SSL vulnerabilities
    ●  Vidéo - utile dans tous les cas – (lors du téléchargement sur le service de streaming, marquez votre vidéo comme privée)
    ●  Si nécessaire, connectez-vous sur ESET SysInspector (ici, vous apprendrez à créer un Log ESET SysInspector) ou Microsoft Problem Step Recorder (Découvrez ici comment utiliser Microsoft Problem Step Recorder)
    ● Merci de décrire le problème aussi précisément que possible en nous envoyant une combinaison des informations susmentionnées.

N'hésitez pas à nous faire part de votre suggestion pour corriger la vulnérabilité.

Pour chiffrer votre communication par e-mail avec nos services, nous vous recommandons d'utiliser notre PGP public key:

Vulnérabilités au-delà de notre compétence

Applications Web

  • Un message d'erreur descriptif (par exemple : Stacktraces, erreur d'application ou défaillance du serveur)
  • Code d'état HTTP 404 ou autres qui ne correspondent pas au code d'état HTTP 200
  • Fingerprinting /Banner-Disclosure des services communs ou publics
  • Divulgation des fichiers publics connus ou des répertoires (comme robots.txt)
  • Clickjacking et problèmes qui ne peuvent être exploitées que via clickjacking
  • CSRF dans les formulaires qui sont disponibles pour les utilisateurs anonymes (par exemple, les formulaires de contact)
  • Cross-Site-Request-Forgery de logout (Déconnexion CSRF)
  • Fonctionnalités existantes pour l'auto-complétion ou « sauvegarde de password » dans les applications ou les navigateurs web
  • Le manque d'attributs sécurisés / HTTPOnly dans les cookies non sensibles
  • L'absence de mécanismes de sécurité au moment de quitter la page
  • Faible Captcha/Captcha Bypass
  • Brute force sur les pages de mot de passe oublié et pas de déconnexion automatique de compte
  • Méthode d'OPTIONS HTTP Activée
  • Evaluation du nom d'utilisateur/ e-mail
    ●  En cas d'erreur sur la page de connexion
    ●  en cas d'erreur de « Mot de passe oublié »
  • Absence d'HTTP-Security-Header, comme par exemple : https://www.owasp.org/index.php/List_of_useful_HTTP_headers
      Strict Transport Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • Problèmes SSL, tels que
    ●  Attaques SSL du type BEAST, Breach, attaque de renégociation
    ●  SSL Forward Secrecy n'est pas activé
    ●  SSL Forward Secrecy n'est pas activé
  • Banner-Disclosure des services communs ou publics
  • Self-XSS et problèmes qui ne peuvent être exploitées que par des Self-XSS
  • Les découvertes qui sont essentiellement attribuables à l'ingénierie sociale (par exemple. Phishing, Vishing, smishing)

Vulnérabilités du produit

  • Injection DLL dans ESET-Installer
  • Non SSL pour les mises à jour/téléchargement de serveurs
  • Tapjacking

ESET représente et pratique le processus de Responsible Dislclosure et remercie ses clients pour les efforts apportés dans la chasse aux vulnérabilités, à moins qu'ils ne souhaitent garder l'anonymat.

MERCI BEAUCOUP.

ESET