Avete scoperto una vulnerabilità?

Condividete la vostra esperienza con noi.

La sicurezza non è uno stato d'essere, è un processo. Per questo avete la possibilità di informarci in ogni momento sulle vulnerabilità dei prodotti o delle risorse di ESET. Scrivete semplicemente una mail a security@eset.com.

Come potete segnalarci i punti deboli


Ogni segnalazione è prioritaria per noi. Per questo motivo analizziamo i casi il più velocemente possibile - tenendoci in contatto con chi ha inviato la segnalazione. Vi preghiamo di inviarci tutte le informazioni in inglese e via email a security@eset.com. Ricordate di inserire le seguenti informazioni: 

  • Obiettivo – in base a indirizzo IP, server, hostname, URL interessato ecc. o il prodotto ESET, incluso in numero di versione ( per determinare il numero della versione del vostro prodotto vi consigliamo di visitare la nostra pagina KnowledgeBase)
  • Tipo del problema – il tipo di vulnerabilità ( ad es. In conformità a OWASP, come Cross-Site-Scripting, buffer overflow, SQL-Injection ) e una descrizione generale del problema.
  • Proof-of-Concept e/o URL per dimostrare il punto debole – una dimostrazione della vulnerabilità che mostri la sua funzionalità. Ad esempio:
    ●  URL contenenti Payload - ad es. XSS nei parametri di richiesta  GET – e.g. XSS in GET request parameters
    ●  Link a checker generali- ad es. vulnerabilità SSL – e.g. SSL vulnerabilities
    ●  Video - utili tutti i casi –  (in caso vengano caricati su servizi di streaming, indicateli come privati)
    ●  File log di ESET SysInspector (qui potete scoprire come creare un log con ESET SysInspector) o Microsoft Problem Step Recorder (qui potete scoprire come utilizzare Problem Step Recorder)
    ● Vi preghiamo di descrivere il problema nel modo più preciso possibile e di inviarci una combinazione di tutte le informazioni riportate qui sopra.

Potete anche inviarci le vostre proposte per la risoluzione delle vulnerabilità che ci avete segnalato. 

Per il criptaggio della vostra comunicazione email vi preghiamo di utilizzare PGP public key:

Vulnerabilità fuori dalla nostra competenza

Applicazioni web

  • Messaggio di errore descrittivo ( ad es. Stack trace, errori di applicazioni o server)
  • Codice di stato HTTP 404 e altri codici di status HTTP che non sono identificati con 200
  • Fingerprinting / Banner-Disclosure in servizi di uso corrente/pubblici
  • Rivelazione di file pubblici noti o directory ( ad es. robots.txt)
  • Clickjacking e problemi che possono essere sfruttati solo da clickjacking
  • CSRF nei moduli disponibili per utenti anonimi ( ad ed. il modulo di contatto)
  • Cross-Site-Request-Forgery nel logout (Logout CSRF)
  • Funzioni disponibili per l'autocompletamento o per il "salvataggio password" nelle applicazioni o nei browser
  • Carenza di sicuri HttpOnly-Attribut in cookie non sensibili
  • Carenza di meccanicismi di sicurezza quando si abbandona una pagina
  • Captcha debole/ Captcha Bypass
  • Metodo di forza bruta sulle pagine per le password dimenticate e nessun logout automatico
  • Metodo OPTIONS HTTP attivato
  • Accertamento nome utente/email
    ●  nei messaggi di errore sulle pagine di login
    ●  nei messaggi di errore "Hai dimenticato la password?"
  • Carenze di HTTP-Security-Header, in particolare.: https://www.owasp.org/index.php/List_of_useful_HTTP_headers
      Strict Transport Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • Problemi SSL, ad es.
    ●  Attacchi SSL come BEAST, BREACH, Renegotiation-Attack
    ●  SSL Forward Secrecy non attivo
    ●  SSL Cipher Suites deboli/insicuri
  • Banner-Disclosure in servizi di uso corrente/pubblici
  • Self-XSS e problemi che possono essere sfruttati solo da Self-XSS 
  • Scoperte che sono da attribuire fondamentalmente alla Social Engineering ( ad es. Phishing, Vishing, Smishing)

Punti deboli nei prodotti

  • DLL-Injection in ESET-Installer
  • Nessun SSL negli Update/Download dei server
  • Tapjacking

ESET tutela e rispetta il processo della responsible dislclosure e ringrazia pubblicamente tutti colo che scoprono e segnalano le vulnerabilità, a meno che non vogliano rimanere anonimi.

GRAZIE MILLE.

ESET