Ανακαλύψατε κάποιο κενό ασφαλείας;

Ενημερώστε μας

Η ασφάλεια είναι μια διαδικασία, όχι ένας προορισμός.
Για αυτό το λόγο, μπορείτε να αναφέρετε κάθε κενό ασφαλείας που σχετίζεται με τα προϊόντα ή τις πηγές της ESET, απλά στείλτε μας ένα e-mail στο security@eset.com.

Κατηγορίες ευπαθειών που μας ενδιαφέρουν ιδιαίτερα


Αντιμετωπίζουμε όλες τις αναφορές με υψηλή προτεραιότητα και εξετάζουμε όλα τα συμβάντα μαζί με αυτόν που τα επισήμανε όσο το δυνατόν πιο γρήγορα.
Παρακαλούμε όταν υποβάλετε μια αναφορά, κάντε το στην αγγλική γλώσσα μέσω του security@eset.com συμπεριλαμβάνοντας τις παρακάτω πληροφορίες:

  • Στόχος - ο ESET server όπως υποδεικνύεται από τη διεύθυνση IP, το hostname, το URL και το προϊόν της ESET συμπεριλαμβανομένης της έκδοσης (δείτε το σχετικό άρθρο μας στη Γνωσιακή Βάση για το πώς να εντοπίζετε τον αριθμό έκδοσης)
  • Είδος συμβάντος - το είδος της ευπάθειας (π.χ., σύμφωνα με το OWASP, όπως cross-site scripting, buffer overflow, SQL injection κ.λπ.), καθώς και μια σχετική περιγραφή της ευπάθειας.

Απόδειξη και/ή ένα URL που να παρουσιάζει το κενό ασφαλείας - μία παρουσίαση του κενού ασφαλείας που να δείχνει πως ακριβώς λειτουργεί. Σχετικά παραδείγματα μπορεί να περιλαμβάνουν:

  • Ένα URL που περιλαμβάνει δεδομένα - π.χ. τα XSS των παραμέτρων αίτησης του GET
  • Έναν σύνδεσμό για γενικό έλεγχο - π.χ. ευπάθειες του SSL
  • Video -  χρήσιμο γενικά (εάν ανεβάσετε υλικό σε μια υπηρεσία streaming, παρακαλούμε κάντε το ιδιωτικό)
  • Αρχείο καταγραφής - από το εργαλείο ESET SysInspector (δείτε πώς να δημιουργήσετε ένα αρχείο καταγραφής μέσω του ESET SysInspector log) ή του Microsoft Problem Steps Recorder (δείτε πώς να χρησιμοποιήσετε τον Problem Steps Recorder), εάν είναι δυνατόν
  • Παρακαλούμε, δώστε μας όσο το δυνατόν πιο λεπτομερή περιγραφή μπορείτε, ή στείλτε μας έναν συνδυασμό των παραπάνω επιλογών. 

Με χαρά θα ακούσουμε τις δικές σας προτάσεις σχετικά με το πώς μπορεί να διορθωθεί το κενό ασφαλείας που ανακαλύψατε.

Για να κρυπτογραφήσετε την ηλεκτρονική επικοινωνία μαζί μας, παρακαλούμε χρησιμοποιήστε το δημόσιο PGP κλειδί μας:

Τρωτά σημεία εκτός πεδίου εφαρμογής

Εφαρμογές Web

  • Περιγραφικά μηνύματα σφάλματος (e.g. Stack Traces, σφάλματα εφαρμογών ή server).
  • Σελίδες HTTP 404 ή άλλα σφάλματα μη HTTP 200.
  • Δακτυλικά αποτυπώματα / banner σε κοινές / δημόσιες υπηρεσίες.
  • Γνωστοποίηση δημόσιων αρχείων ή καταλόγων, (π.χ. robots.txt).
  • Clickjacking και προβλήματα που σχετίζονται μέσω του clickjacking.
  • CSRF ή φόρμες που είναι διαθέσιμες σε ανώνυμους χρήστες (π.χ. η φόρμα επικοινωνίας).
  • Logout Cross-Site Request Forgery (logout CSRF).
  • Παρουσία λειτουργίας "αυτόματης συμπλήρωσης" ή "αποθήκευσης κωδικού" σε εφαρμογή ή web browser.
  • Έλλειψη ασφαλούς/μόνο HTTP ή μη ευαίσθητα Cookies.
  • Έλλειψη Security Speedbump κατά την απομάκρυνση από το site.
  • Ασθενές Captcha / Captcha Bypass
  • Δεν εφαρμόζεται σελίδα Forgot Password και κλείδωμα λογαριασμού.
  • Ενεργοποιημένη μέθοδος OPTIONS HTTP
  • Απαρίθμηση Username / email
    —  μέσω μηνύματος σφάλματος στη Login Page
    —  μέσω μηνύματος σφάλματος Forgot Password
  • Απώντα HTTP security headers, ειδικά (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), π.χ..
    — Strict-Transport-Security
    — X-Frame-Options
    — X-XSS-Protection
    — X-Content-Type-Options
    — Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    — Content-Security-Policy-Report-Only
  • Ζητήματα SSL, π.χ.
    — Επιθέσεις SSL όπως BEAST, BREACH, και επίθεση Renegotiation
    — Μη ενεργοποιημένη μυστική προώθηση SSL
    — SSL αδύναμες / ανασφαλείς σουίτες κρυπτογράφησης
  • Αποκάλυψη banner σε κοινές/δημόσιες υπηρεσίες
  • Self-XSS και ζητήματα που μπορούν να εκμεταλλευτούν μόνο μέσω Self-XSS
  • Ευρήματα που προέρχονται κυρίως από την κοινωνική μηχανική (e.g. phishing, vishing, smishing)

Ευπάθειες προϊόντων

  • dll injection στους εγκαταστάτες της ESET
  • Όχι SSL στους servers αναβάθμισης/λήψης 
  • Tapjacking

Η ESET πιστεύει ότι όποιος μπαίνει στον κόπο να ανακαλύψει και να ενημερώσει σχετικά με κενά ασφαλείας θα πρέπει να λαμβάνει και την αντίστοιχη δημόσια αναγνώριση και το εφαρμόζει στην πράξη, εφόσον φυσικά, ο υπεύθυνος δεν επιθυμεί να παραμείνει ανώνυμος.

ΕΥΧΑΡΙΣΤΟΥΜΕ.

ESET