Discovered a security vulnerability?

Tell us about it

ESET products or resources

If you believe you have found a vulnerability in any ESET product or web application, please inform us confidentially. Every valid report will be rewarded.

Website - www.eset.com

Our partnership with HackTrophy helps us to stay ahead of any potential problems. Let us know about any security issue on our website and claim your reward.

Τρωτά σημεία εκτός πεδίου εφαρμογής

Εφαρμογές Web

  • Περιγραφικά μηνύματα σφάλματος (e.g. Stack Traces, σφάλματα εφαρμογών ή server).
  • Σελίδες HTTP 404 ή άλλα σφάλματα μη HTTP 200.
  • Δακτυλικά αποτυπώματα / banner σε κοινές / δημόσιες υπηρεσίες.
  • Γνωστοποίηση δημόσιων αρχείων ή καταλόγων, (π.χ. robots.txt).
  • Clickjacking και προβλήματα που σχετίζονται μέσω του clickjacking.
  • CSRF ή φόρμες που είναι διαθέσιμες σε ανώνυμους χρήστες (π.χ. η φόρμα επικοινωνίας).
  • Logout Cross-Site Request Forgery (logout CSRF).
  • Παρουσία λειτουργίας "αυτόματης συμπλήρωσης" ή "αποθήκευσης κωδικού" σε εφαρμογή ή web browser.
  • Έλλειψη ασφαλούς/μόνο HTTP ή μη ευαίσθητα Cookies.
  • Έλλειψη Security Speedbump κατά την απομάκρυνση από το site.
  • Ασθενές Captcha / Captcha Bypass
  • Δεν εφαρμόζεται σελίδα Forgot Password και κλείδωμα λογαριασμού.
  • Ενεργοποιημένη μέθοδος OPTIONS HTTP
  • Απαρίθμηση Username / email
    —  μέσω μηνύματος σφάλματος στη Login Page
    —  μέσω μηνύματος σφάλματος Forgot Password
  • Απώντα HTTP security headers, ειδικά (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), π.χ..
    — Strict-Transport-Security
    — X-Frame-Options
    — X-XSS-Protection
    — X-Content-Type-Options
    — Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    — Content-Security-Policy-Report-Only
  • Ζητήματα SSL, π.χ.
    — Επιθέσεις SSL όπως BEAST, BREACH, και επίθεση Renegotiation
    — Μη ενεργοποιημένη μυστική προώθηση SSL
    — SSL αδύναμες / ανασφαλείς σουίτες κρυπτογράφησης
  • Αποκάλυψη banner σε κοινές/δημόσιες υπηρεσίες
  • Self-XSS και ζητήματα που μπορούν να εκμεταλλευτούν μόνο μέσω Self-XSS
  • Ευρήματα που προέρχονται κυρίως από την κοινωνική μηχανική (e.g. phishing, vishing, smishing)

Ευπάθειες προϊόντων

  • dll injection στους εγκαταστάτες της ESET
  • Όχι SSL στους servers αναβάθμισης/λήψης 
  • Tapjacking

Κατηγορίες ευπαθειών που μας ενδιαφέρουν ιδιαίτερα


Αντιμετωπίζουμε όλες τις αναφορές με υψηλή προτεραιότητα και εξετάζουμε όλα τα συμβάντα μαζί με αυτόν που τα επισήμανε όσο το δυνατόν πιο γρήγορα.
Παρακαλούμε όταν υποβάλετε μια αναφορά, κάντε το στην αγγλική γλώσσα μέσω του security@eset.com συμπεριλαμβάνοντας τις παρακάτω πληροφορίες:

  • Στόχος - ο ESET server όπως υποδεικνύεται από τη διεύθυνση IP, το hostname, το URL και το προϊόν της ESET συμπεριλαμβανομένης της έκδοσης (δείτε το σχετικό άρθρο μας στη Γνωσιακή Βάση για το πώς να εντοπίζετε τον αριθμό έκδοσης)
  • Είδος συμβάντος - το είδος της ευπάθειας (π.χ., σύμφωνα με το OWASP, όπως cross-site scripting, buffer overflow, SQL injection κ.λπ.), καθώς και μια σχετική περιγραφή της ευπάθειας.

Απόδειξη και/ή ένα URL που να παρουσιάζει το κενό ασφαλείας - μία παρουσίαση του κενού ασφαλείας που να δείχνει πως ακριβώς λειτουργεί. Σχετικά παραδείγματα μπορεί να περιλαμβάνουν:

  • Ένα URL που περιλαμβάνει δεδομένα - π.χ. τα XSS των παραμέτρων αίτησης του GET
  • Έναν σύνδεσμό για γενικό έλεγχο - π.χ. ευπάθειες του SSL
  • Video -  χρήσιμο γενικά (εάν ανεβάσετε υλικό σε μια υπηρεσία streaming, παρακαλούμε κάντε το ιδιωτικό)
  • Αρχείο καταγραφής - από το εργαλείο ESET SysInspector (δείτε πώς να δημιουργήσετε ένα αρχείο καταγραφής μέσω του ESET SysInspector log) ή του Microsoft Problem Steps Recorder (δείτε πώς να χρησιμοποιήσετε τον Problem Steps Recorder), εάν είναι δυνατόν
  • Παρακαλούμε, δώστε μας όσο το δυνατόν πιο λεπτομερή περιγραφή μπορείτε, ή στείλτε μας έναν συνδυασμό των παραπάνω επιλογών. 

Με χαρά θα ακούσουμε τις δικές σας προτάσεις σχετικά με το πώς μπορεί να διορθωθεί το κενό ασφαλείας που ανακαλύψατε.

Για να κρυπτογραφήσετε την ηλεκτρονική επικοινωνία μαζί μας, παρακαλούμε χρησιμοποιήστε το δημόσιο PGP κλειδί μας:

Η ESET πιστεύει ότι όποιος μπαίνει στον κόπο να ανακαλύψει και να ενημερώσει σχετικά με κενά ασφαλείας θα πρέπει να λαμβάνει και την αντίστοιχη δημόσια αναγνώριση και το εφαρμόζει στην πράξη, εφόσον φυσικά, ο υπεύθυνος δεν επιθυμεί να παραμείνει ανώνυμος.

ΕΥΧΑΡΙΣΤΟΥΜΕ.