Atradote saugumo pažeidimų?

Praneškite mums

Saugumas yra ne kelionės tikslas, o nuolatinis procesas.
Jūs galite pranešti apie bet kokį pažeidžiamumą, susijusį su ESET produktais ar įrankiais Parašykite mums  adresu security@eset.com. Laiškus prašome siųsti tik anglų kalba.

Pažeidimų kategorijos, prie kurių dirbame


Reaguojame į visus Jūsų nusiskundimus ir tiriame visas problemas tiesiogiai su apie jas pranešusiu asmeniu, ir tai stengiamės daryti kuo greičiau.
Prašome savo nusiskundimus teikti anglų kalba čia  security@eset.com būtinai pateikite toliau nurodytą informaciją:

https://technet.microsoft.com/en-us/video/

Norėdami užšifruoti savo elektroninius susirašinėjimus su mumis, prašome naudotis PGP viešuoju raktu:

Nekontroliuojami pažeidimai

Saityno taikomosios programos

  • Apibūdinamoji klaidos žinutė (pvz. Dėklo pėdsakas, taikomosios programos arba serverio klaidos)
  • HTTP 404 kodų/puslapių arba kitų HTTP non-200 kodų/puslapių
  • Kontrolinių kodų/reklaminių juostų paviešinimas plačiai paplitusiose/viešose paslaugų sferose
  • Žinomų viešų rinkmenų arba katalogų paviešinimas, (pvz. robots.txt)
  • Paspaudimų sekimas ir kitos problemos naudojamas tik per paspaudimų sekimą
  • CSRF tokiomis formomis, kurios prieinamos tik anoniminiams vartotojams (pvz. kontaktų forma)
  • Atsijungiant įvairių puslapių klastojimo užklausa (atsijungimo CSRF)
  • Taikomųjų programų arba saityno naršyklių „autoužbaigimo“ arba „slpatažodžio išsaugojimo“ funkcija
  • Trūksta Secure/HTTP Only nuorodų ant mažiau jautrių slapukų
  • Trūksta Security Speedbump paliekant svetainę
  • Silpnas saugos kodas/ saugos kodo apėjimas
  • Puslapis bruka klaidą „Forgot Password/Pamiršote slaptažodį“ ir nevykdomas paskyros blokavimas
  • OPTIONS HTTP metodo įgalinimas
  • Vartotojo vardo/ el.pašto sąrašas
    ●  per prisijungimo puslapio klaidos žinutę
    ●  per „pamiršote slaptažodį“ klaidos žinutę
  • Trūkstamos HTTP saugos antraštės, ypač (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), pvz.,
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Problemos, e.g.
    ●  SSL atakos tokios kaip, BEAST, BREACH, Renegotiation attack
    ●  SSL tolimesnio slaptumo atjungimas
    ●  SSL silpnas / nesaugus šifro tinkamumas
  • Reklaminės juostos paviešinimas plačiai paplitusioje/viešoje aptarnavimo sferoje
  • Self-XSS ir problemų naudojimas tik per Self-XSS
  • Atradimai pirmiausiai gaunami iš socialinės inžinerijos (pvz. sukčiavimo, apgaulingų skambučių, apgaulingų teksto žinučių, šių apgaulių metu apgavikai bando pasisavinti Jūsų asmeninius duomenis)

Produkto pažeidimai

  • dll įsiskverbimai į ESET įdiegėjus.
  • Nėra SSL atnaujinimų/atsisiuntimų serveriai 
  • Paspaudimų registravimas

ESET palaiko atsakingus informacijos atskleidimo procesus ir viešai remia vartotojus, kurie dalinasi apie saugumo pažeidimus ir savo noru lieka anonimais.

DĖKOJAME.

ESET