Kas avastasid turvaauke?

Kirjuta meile sellest

ESETi loetletud veebisaitidelt leiti haavatavusi

Meie partnerlus HackTrophyga aitab meil kõigist võimalikest ohtudest eespool olla. Anna meile teada kõikidest meie veebisaitide turvaküsimustest ja saa tasu info eest.

ESETi toodetest või muudelt veebisaitidelt leitud haavatavused

Kui usud, et oled mõnes ESETi tootes või veebirakenduses leidnud haavatavuse, teavita meid sellest konfidentsiaalselt.

Kui usud, et oled mõnes ESETi tootes või veebirakenduses leidnud haavatavuse, teavita meid sellest konfidentsiaalselt.

Enne aruande esitamist loe palun aruandepoliitikat ja reguleerimisalast infot.

Pange tähele, et me ei alusta Sinu vastu õiguskaitseasutuste uurimist ega kohtuasja aruande sisu pärast.

Tundlik ja isiklik teave

Ära kunagi proovi pääseda juurde isikuandmetele või tundlikele andmetele. Kui said turvauuringute käigus tundlikku või isiklikku teavet, toimi järgmiselt.

- PEATA viivitamatult oma andmeid või isikuandmeid sisaldavad uuringud või toimingud

- EI TOHI salvestada, kopeerida, avalikustada, edastada ega tee mingeid tegevusi, mis on seotud andmete või isikuandmetega

- HOIATA meid kohe, seeläbi aitad ära hoida andmelekke

Mõjualast väljaspool olevad haavatavused

Veebirakendused

  • Kirjeldavad veateated (nt virnajäljed, rakenduse või serveri vead).
  • HTTP 404 koodid / lehed või muud HTTP mitte 200 koodid / lehed.
  • Sõrmejälgede / ribareklaamide avalikustamine ühiste / avalike teenuste puhul.
  • Tuntud avalike failide või kataloogide (nt robots.txt) avalikustamine.
  • Clickjacking ja probleemid, mida saab kasutada ainult clickjackinguga.
  • CSRF anonüümsetele kasutajatele kättesaadavatel vormidel (nt kontaktivorm).
  • Väljalogimine saidiüleste taotluste võltsimine (väljalogimise CSRF).
  • Rakenduse või veebibrauseri funktsioon „automaatne täitmine” või „parooli salvestamine”.
  • Ainult mittetundlikel küpsistel puudub turvaliste / HTTP-lippude puudumine.
  • Saidilt lahkumisel puudub turvakiirus.
  • Nõrk Captcha / Captcha-st möödaminek
  • "Unustasin parooli" lehte toorest jõudu ja konto lukustust ei rakendata.
  • VALIKUD HTTP-meetod on lubatud
  • Kasutajanimi / e-posti loend
    ●  sisselogimislehe tõrketeate kaudu
    ●  veateate "Unustasid parooli" kaudu
  • Täpsemalt puuduvad HTTP-turvapäised (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), nt.
      Strict-Transport-Security
    ●  X-Frame-valikud
    ●  X-XSS-kaitse
    ●  X-Content-Type-valikud
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL-i probleemid, nt
    ●  SSL-i rünnakud, nagu BEAST, BREACH, Uute läbirääkimiste rünnak
    ●  SSL-i edastamise saladus pole lubatud
    ●  SSL-i nõrgad / ebaturvalised šifripaketid
  • Bännerite avalikustamine ühiste / avalike teenuste kohta
  • Self-XSS ja probleemid, mida saab kasutada ainult Self-XSS-i kaudu
  • Peamiselt sotsiaalmanipulatsioonist saadud leiud (nt andmepüük, vishing, smishing)

Toote haavatavus

  • dll-i süstimine ESET-i installiprogrammides
  • SSL pole värskendus- / allalaadimisserverites
  • Tapjacking

Aruandepoliitika

  • Võta meiega ühendust aadressil security@eset.com
  • Aruanded ja kogu sellega seotud materjalid krüpteeritakse by PGP avaliku võtmega
  • Lisa oma organisatsioon ja kontaktisiku nimi
  • Kirjuta võimaliku haavatavuse selge kirjeldus
  • Lisa kogu potentsiaalse haavatavuse kinnitamiseks vajalik teave
  • Lisa tootega seotud aruannetesse ESET-i toote ja mooduli versioon (versiooni numbri määramiseks vt KB toote ja KB mooduli tuvastamise õpetust).
  • Tootega seotud aruanded peaksid vajaduse korral sisaldama ESET SysInspector logifaili.
  • Kontseptsiooni tõestus – esita võimalikult üksikasjalik kirjeldus, sealhulgas ekraanipildid või video (märgitakse vooguteenustesse üles laadides privaatseks)
  • Haavatavuste leevendamise ettepanekud on kõrgelt hinnatud
  • Lisa arvatav potentsiaalse haavatavuse mõju kasutajatele, ESETi töötajatele või teistele.
  • Avalikustamisplaan, kui neid on
  • Peab olema kirjutatud inglise keeles

Pane tähele, et aruanded, mis vastavad jaotise „Reguleerimisalast välja” kriteeriumidele või mis ei järgi meie aruandluseeskirju, võidakse tagasi lükata.

ESET usub vastutustundlikku avalikustamisprotsessi ja on selle praktiseerija ning krediteerib turvanõrkuste reportereid nende jõupingutuste eest, kui nad ei soovi jääda anonüümseks.

TÄNAME!