Discovered a security vulnerability?

Tell us about it

Turvalisus on protsess, mitte sihtkoht.
Sellepärast võid teatada kõigist ESET-i tooteid või ressursse mõjutavatest turvaaukudest, lihtsalt saada meile kiri aadressile security@eset.com.

Vulnerability categories we encourage


Käsitleme kõiki aruandeid esmatähtsalt ja uurime kõiki probleeme võimalikult kiiresti otse raporteerijaga.
Kui teed raporti, ole hea ning tee see ingliskeelsena ja saada see security@eset.com ja lisa järgmine teave:

  • Sihtmärk – ESET-server, mida identifitseeritakse IP-aadressi, hostinime, URL-i ja nii edasi või ESET-i toote, sealhulgas versiooni numbri järgi (versiooni numbri määramiseks vaata meie KnowledgeBase artiklit)
  • Probleemi tüüp – haavatavuse tüüp (nt vastavalt OWASP-le, näiteks saididevaheline skriptimine, puhvri ülevool, SQL-i süstimine jne) ja sisaldab haavatavuse üldist kirjeldust.
  • Kontseptsiooni tõestus ja / või URL, mis näitab haavatavust – haavatavuse demonstreerimine, mis näitab selle toimimist. Näited hõlmavad järgmist:
    ●  Koormust sisaldav URL – nt. XSS GET-päringu parameetrites
    ●  Link üldisele kontrollijale – nt. SSL-i haavatavused
    ●  Video – üldiselt kasutatav (voogedastusplatvormi üleslaadimisel märkige see privaatseks)
    ●  Logifail rakendusest ESET SysInspector (vaata kuidas luua ESET SysInspector logi) või Microsofti probleemide salvestamise registrist (vaata kuidas kasutada Problem Steps Recorder-it).
    ●  Esita võimalikult üksikasjalik kirjeldus või saada meile kombinatsioon eelmistest valikutest.

Tervitame kõiki soovitusi haavatavuse kõrvaldamiseks, kui see on kohaldatav.

Meile meilisõnumite krüptimiseks kasuta palun meie PGP avalikku võtit:

Mõjualast väljaspool olevad haavatavused

Veebirakendused

  • Kirjeldavad veateated (nt virnajäljed, rakenduse või serveri vead).
  • HTTP 404 koodid / lehed või muud HTTP mitte 200 koodid / lehed.
  • Sõrmejälgede / ribareklaamide avalikustamine ühiste / avalike teenuste puhul.
  • Tuntud avalike failide või kataloogide (nt robots.txt) avalikustamine.
  • Clickjacking ja probleemid, mida saab kasutada ainult clickjackinguga.
  • CSRF anonüümsetele kasutajatele kättesaadavatel vormidel (nt kontaktivorm).
  • Väljalogimine saidiüleste taotluste võltsimine (väljalogimise CSRF).
  • Rakenduse või veebibrauseri funktsioon „automaatne täitmine” või „parooli salvestamine”.
  • Ainult mittetundlikel küpsistel puudub turvaliste / HTTP-lippude puudumine.
  • Saidilt lahkumisel puudub turvakiirus.
  • Nõrk Captcha / Captcha-st möödaminek
  • "Unustasin parooli" lehte toorest jõudu ja konto lukustust ei rakendata.
  • VALIKUD HTTP-meetod on lubatud
  • Kasutajanimi / e-posti loend
    ●  sisselogimislehe tõrketeate kaudu
    ●  veateate "Unustasid parooli" kaudu
  • Täpsemalt puuduvad HTTP-turvapäised (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), nt.
      Strict-Transport-Security
    ●  X-Frame-valikud
    ●  X-XSS-kaitse
    ●  X-Content-Type-valikud
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL-i probleemid, nt
    ●  SSL-i rünnakud, nagu BEAST, BREACH, Uute läbirääkimiste rünnak
    ●  SSL-i edastamise saladus pole lubatud
    ●  SSL-i nõrgad / ebaturvalised šifripaketid
  • Bännerite avalikustamine ühiste / avalike teenuste kohta
  • Self-XSS ja probleemid, mida saab kasutada ainult Self-XSS-i kaudu
  • Peamiselt sotsiaalmanipulatsioonist saadud leiud (nt andmepüük, vishing, smishing)

Toote haavatavus

  • dll-i süstimine ESET-i installiprogrammides
  • SSL pole värskendus- / allalaadimisserverites
  • Tapjacking

ESET usub vastutustundlikku avalikustamisprotsessi ja on selle praktiseerija ning krediteerib turvanõrkuste raporteerijaid nende jõupingutuste eest, kui nad ei soovi jääda anonüümseks.

TÄNAME SIND

ESET