Löysitkö tietoturvahaavoittuvuuden?

Kerro siitä meille

ESET-tuotteet tai -resurssit

Jos uskot löytäneesi haavoittuvuuden jossakin ESET-tuotteessa tai verkkosovelluksessa, ilmoita siitä suoraan meille. Jokainen asianmukainen raportti palkitaan.

Ota yhteyttä

Website - www.eset.com

Yhteistyömme HackTrophyn kanssa auttaa meitä pysymään askeleen mahdollisten ongelmien edellä. Ilmoita meille, mikäli havaitset sivustollamme turvallisuusongelman – saat palkkion.

Ilmoita HackTrophyn kautta

Soveltamisalan ulkopuoliset haavoittuvuudet

Web-sovellukset

  • Raportit automatisoiduista työkaluista tai skannauksista
  • Palvelunestohyökkäykset
  • Mies välissä -hyökkäykset
  • Hyökkäykset, jotka edellyttävät fyysistä pääsyä käyttäjän laitteelle
  • Hypoteettiset kysymykset, joilla ei ole käytännön vaikutusta
  • Julkisesti käytettävissä olevat kirjautumisvalikot, joiden hyväksikäytöstä ei ole todisteita
  • Ensisijaisesti käyttäjän manipuloinnilla saadut tulokset (urkinta esim. sähköpostien, tekstiviestien tai puheluiden kautta)
  • Informatiiviset vakavat ja vähemmän vakavat ongelmat
  • Roskaposti
  • Clickjacking ja vain clickjacking-tekniikan kautta hyödynnettävät ongelmat.
  • Sormenjälkitunnistuksen/bannerin paljastus yleisissä/julkisissa palveluissa.
  • Sähköpostin määritysongelmat (SPF-, DKIM-, DMARC -asetukset)
  • Kuvailevat virheilmoitukset (esim. Stack Trace-, sovellus- tai palvelinvirheet).
  • HTTP 404 -koodit/-sivut tai muut HTTP non-200 -koodit/-sivut.
  • Tunnettujen julkisten tai ei-yksityisten tiedostojen tai hakemistojen paljastaminen (esim. robots.txt,crossdomain.xml tai muut periaatetiedostot, jokereiden/järjestysmuutosten käyttö niissä).
  • Nonstandard HTTP -metodi käytössä
  • Puuttuvat tietoturvaotsikot (kuten Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Secure/HTTP Only/SameSite -lippujen puuttuminen ei-arkaluonteisista evästeistä.
  • Avoin uudelleenohjaus, jota ei voi käyttää arkaluonteisten tietojen vuotamiseen (istuntokohtaiset evästeet, OAuth-tunnisteet)
  • Useita samanaikaisia aktiivisia istuntoja koskevat hallintaongelmat
  • Host-otsikon injektion-hyökkäykset
  • Self-XSS ja vain Self-XSS:n kautta hyödynnettävät ongelmat
  • CSRF-lomakkeissa, jotka ovat anonyymien käyttäjien käytettävissä (esim. yhteydenottolomake).
  • CSRF logout-prosessissa
  • Sovelluksen tai selaimen ”autocomplete-” tai ”Tallenna salasana” -toiminto.
  • Salasana unohtunut -sivuston brute force -hyökkäys, tilin sulkua ei ole pantu täytäntöön.
  • Käyttäjänimi-/sähköpostiluettelointi ilman muita vaikutuksia
  • Kapasiteettia rajoittavat ongelmat
  • Heikko Captcha/Captcha-ohitus
  • Tunnetusti haavoittuvien kirjastojen käyttö ilman kuvausta siitä, mikä on erityisen tärkeä osa
  • SSL-ongelmat (esimerkiksi: heikko/epävarma koodaus, BEAST, BREACH, Renegotiation-hyökkäykset jne.)

Tuotteiden haavoittuvuudet

  • DLL-injektio ESET-asennusohjelmissa
  • SSL puuttuu päivitys-/latauspalvelimilta
  • Tapjacking

Haavoittuvuusilmoituksen tärkeät tiedot

Suhtaudumme kaikkiin ilmoituksiin vakavasti ja tutkimme kaikki ongelmat yhteistyössä ilmoittajan kanssa mahdollisimman nopeasti.Kun teet raportin, tee se englanniksi osoitteeseen security@eset.com ja anna seuraavat tiedot:

  • Kohde – ESET-palvelimen IP-osoite, verkkotunnus, URL ja niin edelleen tai ESET-tuote, mukaan lukien versionumero (katso versionumeron selvittämistä koskeva KnowledgeBase-artikkeli)
  • Ongelman tyyppi – Haavoittuvuuden tyyppi (esimerkiksi OWASPin mukainen, kuten sivustojenväliset komentosarjat, puskurin ylivuoto, SQL-injektio jne.) ja yleinen kuvaus haavoittuvuudesta.
  • Haavoittuvuutta havainnollistava soveltuvuusselvitys (Proof of concept) ja/tai URL – Esittää haavoittuvuuden ja näyttää, miten se toimii. Esimerkkejä:
    tietosisällön sisältävä URL – esim. XXS-skripti GET-pyynnön parametreissä
    ● Linkki yleiseen tarkistusohjelmaan – esim. SSL-haavoittuvuudet
    Video – yleisesti käytettävissä oleva palvelu (jos lataat streaming-palveluun, merkitse yksityiseksi)
    Lokitiedosto ESET SysInspectorista (katso ESET SysInspector lokin luominen) tai Microsoft Ongelmatilanteiden tallentimesta (katso Ongelmatilanteiden tallentimen käyttö) mahdollisuuksien mukaan
    ● Anna mahdollisimman yksityiskohtainen kuvaus tai lähetä meille mitä tahansa edellä mainituista tiedoista.

Otamme mielellämme vastaan ehdotuksia haavoittuvuuden korjaamiseksi.

Salaa meille osoitettu sähköpostiviestintäsi julkisella PGP-avaimellamme

ESET kannattaa vahvasti ja harjoittaa itse vastuullista ilmoitusprosessia ja antaa julkisesti tunnustusta tietoturvahaavoittuvuuden ilmoittajalle, paitsi jos tämä haluaa pysyä nimettömänä.

KIITOS.