Обнаружили уязвимость в системе безопасности?

Расскажи нам об этом

Уязвимости, обнаруженные на указанных веб-сайтах ESET

Наше партнерство с HackTrophy помогает нам опережать любые потенциальные угрозы. Сообщите нам о любых проблемах с безопасностью на наших веб-сайтах и ​​запросите вознаграждение.

Уязвимости, обнаруженные в продуктах ESET или на других веб-сайтах

Если вы считаете, что обнаружили уязвимость в каком-либо продукте или веб-приложении ESET, сообщите нам об этом конфиденциально.

If you believe you have found a vulnerability in any ESET product or web application, please inform us confidentially.

Перед отправкой отчета прочтите, пожалуйста, раздел «Политика отчета и выход за рамки».

Обратите внимание, что мы не будем инициировать расследование правоохранительных органов или судебный процесс против вас за содержание отчета.

Конфиденциальная и личная информация

Никогда не пытайтесь получить доступ к личной информации или конфиденциальным данным. Если вы получили конфиденциальную или личную информацию во время исследования безопасности, выполните следующие действия:

- Немедленно ПРЕКРАТИТЕ свои исследования или действия, которые включают данные или личную информацию

- ЗАПРЕЩАЕТСЯ сохранять, копировать, раскрывать, передавать и выполнять какие-либо действия, связанные с данными или личной информацией.

- Немедленно СООБЩИТЕ нам и поддержите в усилиях по смягчению последствий.

Уязвимости вне области видимости

Web applications

  • Descriptive error messages (e.g. Stack Traces, application or server errors).
  • HTTP 404 codes/pages or other HTTP non-200 codes/pages.
  • Fingerprinting / banner disclosure on common/public services.
  • Disclosure of known public files or directories, (e.g. robots.txt).
  • Clickjacking and issues only exploitable through clickjacking.
  • CSRF on forms that are available to anonymous users (e.g. the contact form).
  • Logout Cross-Site Request forgery (logout CSRF).
  • Presence of application or web browser ‘autocomplete’ or ‘save password’ functionality.
  • Lack of Secure/HTTP Only flags on non-sensitive Cookies.
  • Lack of Security Speedbump when leaving the site.
  • Weak Captcha / Captcha Bypass
  • forgot Password page brute force and account lockout not enforced.
  • OPTIONS HTTP method enabled
  • Username / email enumeration
    ●  via Login Page error message
    ●  via forgot Password error message
  • Missing HTTP security headers, specifically (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), e.g.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Issues, e.g.
    ●  SSL Attacks such as BEAST, BREACH, Renegotiation attack
    ●  SSL forward secrecy not enabled
    ●  SSL weak / insecure cipher suites
  • Banner disclosure on common/public services
  • Self-XSS and issues exploitable only through Self-XSS
  • Findings derived primarily from social engineering (e.g. phishing, vishing, smishing)

Уязвимости продукта

  • dll injection in ESET installers
  • No SSL in update/download servers 
  • Tapjacking

Политика отчета

  • Свяжитесь с нами по адресу security@eset.com
  • Отчеты и все сопутствующие материалы зашифрованыоткрытым ключом PGP.
  • Укажите свою организацию и контактное лицо
  • Напишите четкое описание потенциальной уязвимости
  • Добавьте всю информацию, необходимую для подтверждения потенциальной уязвимости
  • Включите продукт ESET и версию модуля (см. KB product и KB module чтобы определить номер версии) в отчеты, связанные с продуктом.
  • Отчеты, относящиеся к продукту, должны содержать файл журнала от ESET SysInspector если применимо.
  • Подтверждение концепции - предоставьте как можно более подробное описание, включая скриншоты или видео (помеченные как личные при загрузке в потоковые сервисы)
  • Предложения по смягчению последствий высоко оценены
  • Включите влияние потенциальной уязвимости, которую вы ожидаете от нее, на пользователей, сотрудников ESET или других лиц.
  • Планы раскрытия информации, если таковые имеются
  • Должен быть написан на английском языке

Обратите внимание, что отчеты, соответствующие критериям раздела «Вне диапазона» или не соответствующие нашей Политике в отношении отчетов, могут быть отклонены.

Компания ESET твердо верит в процесс ответственного раскрытия информации, а также занимается его практикой и публично благодарит репортеров об уязвимостях безопасности за их усилия, если они не хотят оставаться анонимными.

СПАСИБО.