Har du opdaget en sårbarhed i sikkerheden?

Fortæl os om det

ESET-produkter eller -ressourcer

Giv os venligst besked i fortrolighed, hvis du mener, du har fundet en sårbarhed i et ESET-produkt eller en webapplikation. Enhver gyldig rapport vil blive belønnet.

Websted – www.eset.com

Vores partnerskab med HackTrophy hjælper os med at være på forkant med potentielle problemer. Fortæl os om et sikkerhedsproblem på vores hjemmeside, og søg efter din belønning.

Sårbarheder af typen uden for anvendelsesområde

Webprogrammer

  • Rapporter fra automatiserede værktøjer eller scanninger
  • Denial of Service-angreb
  • Man in the middle-angreb
  • Angreb, der kræver fysisk adgang til brugerens enhed
  • Hypotetiske problemer, der ikke har nogen praktisk betydning
  • Offentligt tilgængelige loginpaneler uden bevis for udnyttelse
  • Resultater, der primært stammer fra social engineering (f.eks. phishing, vishing, smishing) og andre ikke-tekniske angreb
  • Problemer med informativ alvorlighed og lav alvorlighed
  • Spamming
  • Clickjacking og sårbarheder, der kun kan udnyttes via clickjacking.
  • Offentliggørelse af fingeraftryk/banner på fælles/offentlige tjenester.
  • Problemer med mailkonfiguration (SPF, DKIM, DMARC-indstillinger)
  • Beskrivende fejlmeddelelser (f.eks. stakspor, program- eller serverfejl)
  • HTTP 404-koder/-sider eller andre ikke-HTTP 200-koder/-sider.
  • Afsløring af kendte offentlige eller ikke-følsomme filer eller mapper (f.eks. robots.txt, crossdomain.xml eller andre politikfiler, wildcard-tilstedeværelse/fejlkonfiguration i disse).
  • Aktiveret HTTP-metode, ikke-standard
  • Manglende sikkerhedsheader (f.eks. Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Manglende sikker-/kun HTTP-/sammeWebsted-flag på ikke-følsomme Cookies.
  • Åben omdirigering, der ikke kan bruges til at exfiltrere følsomme oplysninger (sessioncookies, OAuth-tokens)
  • Administrationsproblemer med flere samtidige aktive sessioner
  • Angreb med injektion af værtsheader
  • Self-XSS og sårbarheder, der kun kan udnyttes via Self-XS
  • CSRF på formularer, der er tilgængelige for anonyme brugere (f.eks. kontaktformularen).
  • CSRF ved logout
  • Tilstedeværelse af program- eller webbrowserfunktionaliteten "autofuldførelse" eller "gem adgangskode".
  • Brute Force på Glemt adgangskode-side og kontolockout håndhæves ikke.
  • Optælling af brugernavn/e-mail uden nogen yderligere indvirkning
  • Hastighedsbegrænsende problemer
  • Svag Captcha/Captcha-bypass
  • Brug af et bibliotek, der er kendt som sårbart, uden en beskrivelse af en exploit, der er specifik for vores implementering
  • SSL-problemer (eksempel: svag/usikker cipher, BEAST, BREACH, genforhandlingsangreb osv.)

Produktsårbarheder

  • dll-injektion i ESET-installationsprogrammer
  • Ingen SSL i opdaterings-/downloadservere
  • Tapjacking

Sårbarhedskategorier, som vi tilskynder

Vi behandler alle rapporter med høj prioritet og undersøger alle problemer direkte med den rapporterende så hurtigt som muligt. Når du laver en rapport, beder vi dig gøre det på engelsk via security@eset.com og medtage følgende oplysninger:

  • Mål – ESET-serveren, der identificeres af IP-adresse, værtsnavn, URL og så videre, eller ESET-produktet, herunder versionsnummer (se vores videnbaseartikel for at bestemme versionsnummeret)
  • Problemtype – typen af sårbarhed (f.eks. ifølge OWASP såsom scripts på tværs af websteder, bufferoverløb, SQL-injektion osv.) og inklusive en generel beskrivelse af sårbarheden.
  • Blåstempling og/eller URL, der viser sårbarheden – en påvisning af sårbarheden, der viser, hvordan den virker. Eksempler omfatter:
    URL-adresse, der indeholder data – f.eks. XSS i GET-anmodningsparametre
    Link til generel kontrol – f.eks. SSL-sårbarheder
    Video – generelt brugbar (hvis du uploader til en streamingtjeneste, skal du markere den som privat)
    Logfil fra ESET SysInspector (se, hvordan du opretter ESET SysInspector-log) eller Microsoft Optager til problemtrin (se, hvordan Optager til problemtrin bruges), hvis det er relevant
    ● Giv så detaljeret en beskrivelse som muligt, eller send os en kombination af de forrige muligheder.

Vi bifalder varmt eventuelle anbefalinger om, hvordan sårbarheden løses, hvis det er relevant.

Hvis du vil kryptere din e-mail-kommunikation til os, bedes du bruge vores offentlige PGP-nøgle

ESET er en stærk tilhænger og udøver af en ansvarlig afsløringsproces og anerkender offentligt personer, der rapporterer sikkerhedssårbarheder, for deres indsats, medmindre de ønsker at forblive anonyme.

MANGE TAK.