Löysitkö tietoturvahaavoittuvuuden?

Kerro siitä meille

Tietoturva on prosessi, ei määränpää.
Siksi voit milloin tahansa ilmoittaa ESETin tuotteisiin tai resursseihin vaikuttavista tietoturvahaavoittuvuudesta kirjoittamalla meille osoitteeseen security@eset.com.

Haavoittuvuusilmoituksen tärkeät tiedot


Suhtaudumme kaikkiin ilmoituksiin vakavasti ja tutkimme kaikki ongelmat yhteistyössä ilmoittajan kanssa mahdollisimman nopeasti.
Kun teet raportin, tee se englanniksi osoitteessa security@eset.com ja anna seuraavat tiedot:

  • Kohde – ESET-palvelimen IP-osoite, verkkotunnus, URL ja niin edelleen tai ESET-tuote, mukaan lukien versionumero (katso versionumeron selvittämistä koskeva KnowledgeBase-artikkeli)
  • Ongelman tyyppi – Haavoittuvuuden tyyppi (esimerkiksi OWASPin mukainen, kuten sivustojenväliset komentosarjat, puskurin ylivuoto, SQL-injektio jne.) ja yleinen kuvaus haavoittuvuudesta.
  • Haavoittuvuutta havainnollistava soveltuvuusselvitys (Proof of concept) ja/tai URL – Esittää haavoittuvuuden ja näyttää, miten se toimii. Esimerkkejä:
    tietosisällön sisältävä URL – esim. XXS-skripti GET-pyynnön parametreissä
    Linkki yleiseen tarkistusohjelmaan – esim. SSL-haavoittuvuudet
    Video – yleisesti käytettävissä oleva palvelu (jos lataat streaming-palveluun, merkitse yksityiseksi)
    Lokitiedosto ESET SysInspectorista (katsoESET SysInspector lokin luominen) tai Microsoft Ongelmatilanteiden tallentimesta (katso Ongelmatilanteiden tallentimen käyttö) mahdollisuuksien mukaan
    ● Anna mahdollisimman yksityiskohtainen kuvaus tai lähetä meille mitä tahansa edellä mainituista tiedoista.

Otamme mielellämme vastaan ehdotuksia haavoittuvuuden korjaamiseksi.

Salaa meille osoitettu sähköpostiviestintäsi julkisella PGP-avaimellamme:

Soveltamisalan ulkopuoliset haavoittuvuudet

Web-sovellukset

  • Kuvailevat virhesanomat (esim. Stack Trace, sovelluksen tai ohjelman virheet).
  • HTTP 404 -koodit/-sivut tai muut HTTP non-200 -koodit/-sivut.
  • Fingerprinting / sormenjälkitunnistus / bannerin paljastus yleisissä/julkisissa palveluissa.
  • Tunnettujen julkisten tiedostojen tai hakemistojen paljastus (esim. robots.txt).
  • Clickjacking ja vain clickjacking-tekniikan kautta hyödynnettävät ongelmat.
  • CSRF-lomakkeissa, jotka ovat anonyymien käyttäjien käytettävissä (esim. yhteydenottolomake).
  • Uloskirjautuminen Cross-Site Request Forgery (logout CSRF).
  • Sovelluksen tai selaimen ”autocomplete-” tai ”Tallenna salasana” -toiminto.
  • Secure/HTTP Only -liput puuttuvat ei-arkaluonteisista evästeistä.
  • Security Speedbump puuttuu sivustolta poistuttaessa.
  • Heikko Captcha / Captcha-ohitus
  • Salasana unohtunut -sivuston brute force -hyökäys ja tilin sulkua ei ole pantu täytäntöön.
  • OPTIONS HTTP -metodi käytössä
  • Käyttäjätunnuksen / sähköpostin arviointi
    ● Kirjautumissivun virhesanoman kautta
    ● Unohtuiko salasana -virhesanoman kautta
  • Puuttuvat HTTP-tietoturvaotsikot, erityisesti (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), esim.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL-ongelmat esim.
    ● SSL-hyökkäykset kuten BEAST, BREACH, Renegotiation-hyökkäys
    ● SSL Forward -salaus ei ole käytössä
    ● SSL heikot / epävarmat salakirjoitussarjat
  • Bannerin paljastus yleisissä/julkisissa palveluissa.
  • Self-XSS ja vain Self-XSS:n kautta hyödynnettävät ongelmat
  • Ensisijaisesti käyttäjän manipuloinnilla saadut tulokset (esim. phishing, vishing, smishing)

Tuotteiden haavoittuvuudet

  • DLL-injektio ESET-asennusohjelmissa
  • SSL puuttuu päivitys-/latauspalvelimilta
  • Tapjacking

ESET kannattaa vahvasti ja harjoittaa itse vastuullista ilmoitusprosessia ja antaa julkisesti tunnustusta tietoturvahaavoittuvuuden ilmoittajalle, paitsi jos tämä haluaa pysyä nimettömänä.

KIITOS.

ESET