Har du opdaget en sårbarhed?

Fortæl os om det

Sikkerhed er en proces, ikke en destination.
Det er derfor, du kan rapportere alle sikkerhedsmæssige sårbarheder, som påvirker ESET-produkter eller -ressourcer. Bare skriv til security@eset.com.

Sårbarhedskategorier, som vi tilskynder


Vi behandler alle rapporter med høj prioritet og undersøger alle spørgsmål direkte med den rapporterende så hurtigt som muligt.
Når du laver en rapport, beder vi dig gøre det på engelsk via security@eset.com og medtage følgende oplysninger:

  • Mål – ESET-serveren, der identificeres af IP-adresse, værtsnavn, URL og så videre, eller ESET-produktet, herunder versionsnummer (se vores videnbaseartikel for at bestemme versionsnummeret)
  • Spørgsmålstype – typen af sårbarhed (f.eks. ifølge OWASP, såsom scripts på tværs af websteder, bufferoverløb, SQL-injektion osv.) og inklusive en generel beskrivelse af sårbarheden.
  • Blåstempling og/eller URL, der viser sårbarheden – en påvisning af sårbarheden, der viser, hvordan den virker. Eksempler omfatter:
    URL-adresse, der indeholder data – f.eks. XSS i GET-anmodningsparametre
    Link til generel kontrol – f.eks. SSL-sårbarheder
    Video – generelt anvendelige (hvis der uploades til en streaming-tjeneste, skal du markere som privat)
    Logfil fra ESET SysInspector (se hvordan der oprettes ESET SysInspector-log) eller Microsoft Optager til problemtrin (se hvordan Optager til problemtrin bruges), hvis det er relevant
    ● Angiv så detaljeret en beskrivelse som muligt, eller send os en kombination af de tidligere valg.

Vi bifalder varmt eventuelle anbefalinger om, hvordan sårbarheden løses, hvis det er relevant.

Hvis du vil kryptere din e-mail-kommunikation til os, bedes du bruge vores offentlige PGP-nøgle:

Sårbarheder af typen uden for anvendelsesområde

Webprogrammer

  • Beskrivende fejlmeddelelser (f.eks. stakspor, program- eller serverfejl).
  • HTTP 404-koder/-sider eller andre ikke-HTTP 200-koder/-sider.
  • Offentliggørelse af fingeraftryk/banner på fælles/offentlige tjenester.
  • Offentliggørelse af kendte offentlige filer eller mapper (f.eks. robots.txt).
  • Clickjacking og sårbarheder, der kun kan udnyttes via clickjacking.
  • CSRF på formularer, der er tilgængelige for anonyme brugere (f.eks. kontaktformularen).
  • Forfalskning af anmodning på tværs af websteder ved logout (logout-CSRF).
  • Tilstedeværelse af program- eller webbrowserfunktionaliteten "autofuldførelse" eller "gem adgangskode".
  • Manglende sikker-/kun HTTP-flag på ikke-følsomme Cookies.
  • Manglende sikkerhedsbump, når websted forlades.
  • Svag Captcha/Captcha-bypass
  • Brute Force på Glemt adgangskode-side og kontolockout håndhæves ikke.
  • Aktiveret OPTIONS HTTP-metode
  • Brugernavn-/e-mail-optælling
    ● via fejlmeddelelse på logonside
    ● via Glemt adgangskode-fejlmeddelelse
  • Manglende HTTP-sikkerhedsoverskrifter, specifikt (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), f.eks.
      Stridt-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL-sårbarheder, f.eks.
    ● SSL-angreb såsom BEAST, BREACH, genforhandlingsangreb
    ● SSL-videresendelseshemmelighed er ikke aktiveret
    ● svage/usikre SSL-krypteringspakker
  • Offentliggørelse af banner på fælles/offentlige tjenester
  • Self-XSS og sårbarheder, der kun kan udnyttes via Self-XSS
  • Resultater, der primært stammer fra social engineering (f.eks. phishing, vishing, smishing)

Produktsårbarheder

  • dll-injektion i ESET-installationsprogrammer
  • Ingen SSL i opdaterings-/downloadservere
  • Tapjacking

ESET er en stærk tilhænger af og udøver af den ansvarlige afsløringsproces og anerkender offentligt personer, der rapporterer sikkerhedssårbarheder for deres indsats, medmindre de ønsker at forblive anonyme.

MANGE TAK.

ESET