Saugumas yra ne kelionės tikslas, o nuolatinis procesas.
Jūs galite pranešti apie bet kokį pažeidžiamumą, susijusį su ESET produktais ar įrankiais Parašykite mums adresu security@eset.com. Laiškus prašome siųsti tik anglų kalba.
Pažeidimų kategorijos, prie kurių dirbame
Reaguojame į visus Jūsų nusiskundimus ir tiriame visas problemas tiesiogiai su apie jas pranešusiu asmeniu, ir tai stengiamės daryti kuo greičiau. Prašome savo nusiskundimus teikti anglų kalba čia security@eset.com būtinai pateikite toliau nurodytą informaciją:
- Target – ESET serveriai identifikuojami pagal IP adresus, pagrindinio kompiuterio vardą, URL ir taip toliau arba pagal ESET produktą, įskaitant jo versijos numerį (norėdami nustatyti versijos numerį daugiau informacijos galite rasti čia „KnowledgeBase“ straipsnis)
- Problemos tipas – Pažeidimo tipas (pvz., pagal OWASP, tokios kaip įvairių svetainių scenarijų kalba, duomenų perpildymo klaida, SQL įsiskverbimas ir kt.) ir nepamirškite bendro pažeidimo apibūdinimo.
- Koncepcijos-įrodymas ir/arba URL rodantis pažeidimą – pažeidimo demonstracija, parodanti kaip jis pasireiškia. Pavyzdžiui:
● URL turintis perkrovą – pvz., XSS GET reikalaujamuose parametruose
● Bendro patikrinimo nuoroda – pvz., SSL pažeidimai
● Vaizdo įrašas – bendrai naudojamas (jeigu išsiunčiate į srautinį serverį, pažymėkite, kaip privatų)
● Žurnalo rinkmena iš ESET SysInspector (daugiau informacijos kaip sukurti ESET SysInspector žurnalą galite rasti čia: ) arba Microsoft Problem Steps Recorder (daugiau informacijos kaip naudoti Problem Steps Recorder galite rasti paspaudę šią nuorodą.
● Prašome pateikti kuo detalesnį aprašymą arba atsiųskite ankstesnių pasirinkimų kombinaciją.
Norėdami užšifruoti savo elektroninius susirašinėjimus su mumis, prašome naudotis PGP viešuoju raktu:
Nekontroliuojami pažeidimai
Saityno taikomosios programos
- Apibūdinamoji klaidos žinutė (pvz. Dėklo pėdsakas, taikomosios programos arba serverio klaidos)
- HTTP 404 kodų/puslapių arba kitų HTTP non-200 kodų/puslapių
- Kontrolinių kodų/reklaminių juostų paviešinimas plačiai paplitusiose/viešose paslaugų sferose
- Žinomų viešų rinkmenų arba katalogų paviešinimas, (pvz. robots.txt)
- Paspaudimų sekimas ir kitos problemos naudojamas tik per paspaudimų sekimą
- CSRF tokiomis formomis, kurios prieinamos tik anoniminiams vartotojams (pvz. kontaktų forma)
- Atsijungiant įvairių puslapių klastojimo užklausa (atsijungimo CSRF)
- Taikomųjų programų arba saityno naršyklių „autoužbaigimo“ arba „slaptažodžio išsaugojimo“ funkcija
- Trūksta Secure/HTTP Only nuorodų ant mažiau jautrių slapukų
- Trūksta Security Speedbump paliekant svetainę
- Silpnas saugos kodas/ saugos kodo apėjimas
- Puslapis bruka klaidą „Forgot Password/Pamiršote slaptažodį“ ir nevykdomas paskyros blokavimas
- OPTIONS HTTP metodo įgalinimas
- Vartotojo vardo/ el.pašto sąrašas
● per prisijungimo puslapio klaidos žinutę
● per „pamiršote slaptažodį“ klaidos žinutę - Trūkstamos HTTP saugos antraštės, ypač (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), pvz.,
● Strict-Transport-Security
● X-Frame-Options
● X-XSS-Protection
● X-Content-Type-Options
● Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
● Content-Security-Policy-Report-Only - SSL Problemos, e.g.
● SSL atakos tokios kaip, BEAST, BREACH, Renegotiation attack
● SSL tolimesnio slaptumo atjungimas
● SSL silpnas / nesaugus šifro tinkamumas - Reklaminės juostos paviešinimas plačiai paplitusioje/viešoje aptarnavimo sferoje
- Self-XSS ir problemų naudojimas tik per Self-XSS
- Atradimai pirmiausiai gaunami iš socialinės inžinerijos (pvz. sukčiavimo, apgaulingų skambučių, apgaulingų teksto žinučių, šių apgaulių metu apgavikai bando pasisavinti Jūsų asmeninius duomenis)
Produkto pažeidimai
- dll įsiskverbimai į ESET įdiegėjus.
- Nėra SSL atnaujinimų/atsisiuntimų serveriai
- Paspaudimų registravimas
ESET palaiko atsakingus informacijos atskleidimo procesus ir viešai remia vartotojus, kurie dalinasi apie saugumo pažeidimus ir savo noru lieka anonimais.
DĖKOJAME.
ESET