Обнаружили уязвимость безопасности?

Сообщите нам

Обеспечение безопасности — это непрерывный процесс, а не застывший результат.
Поэтому вы можете сообщить о любых уязвимостях безопасности, которые касаются продуктов или ресурсов ESET: напишите нам на security@eset.com.

Типы уязвимостей, о которых мы просим сообщать


Нам важно каждое сообщение, и мы как можно быстрее рассматриваем каждую проблему, работая напрямую с автором сообщения.
Просим отправлять сообщения на английском языке на адрес security@eset.com . Не забудьте указать следующее:

  • Объект уязвимости — сервер ESET, идентифицируемый по IP-адресу, имени хоста, URL-адресу и т. д., или продукт ESET с указанием номера версии (об определении номера версии см. статью в нашей базе знаний KnowledgeBase)
  • Разновидность проблемы — тип уязвимости (например, тип согласно OWASP, межсайтовый скриптинг, переполнение буфера, внедрение SQL-кода и др.), а также общее описание уязвимости.
  • Порядок действий и (или) URL-адрес, позволяющий воспроизвести уязвимость — демонстрация механизма данной уязвимости. Примеры:
    ●  URL, содержащий полезную информацию — например, XSS в параметрах запроса GET
    ●  Ссылка на механизм общей проверки — например, уязвимости SSL
    ●  Видео — должно быть общедоступным  (при загрузке в потоковый сервис сделайте видео приватным)
    ●  Файл журнала, созданный утилитой ESET SysInspector ESET (см. как создать журнал ESET SysInspector) или утилитой Microsoft Problem Steps Recorder (см. как пользоваться утилитой Microsoft Problem Steps Recorder), если применимо
    ●  Опишите проблему как можно подробнее или отправьте нам любые данные из указанных выше. 

Если вы можете предоставить рекомендации о том, как устранить данную уязвимость, мы будем за них благодарны.

Чтобы зашифровать направляемые нам сообщения электронной почты, используйте нашоткрытый PGP-ключ:

Уязвимости, выходящие за установленные рамки

Веб-приложения

  • Описательные сообщения об ошибках (например, трассировки стека, ошибки приложения или сервера).
  • Коды/страницы HTTP 404 или иные коды/страницы HTTP, отличные от 200.
  • Сбор отпечатков браузера или раскрытие баннера на общедоступных/общественных сервисах.
  • Раскрытие известных общедоступных файлов или директорий (например, robots.txt).
  • Кликджекинг и проблемы, которые можно эксплуатировать только посредством кликджекинга.
  • CSRF-атака на формы, доступные анонимным пользователям (например, форма обратной связи).
  • CSRF при выходе из системы.
  • Наличие функций автозаполнения или сохранения пароля в приложениях или в браузере.
  • Отсутствие флагов Secure/HTTPOnly на неконфиденциальных cookie-файлах.
  • Отсутствие искусственных механизмов замедления при покидании сайта.
  • Слабая капча/возможность обхода капчи
  • Неприменение блокировки учетной записи при атаке на страницу восстановления пароля с помощью метода «грубой силы».
  • Разрешён HTTP-метод OPTIONS
  • Возможность подбора имени пользователя/адреса электронной почты
    ●  посредством сообщения об ошибке на странице входа в систему
    ●  посредством сообщения об ошибке на странице восстановления пароля
  • Отсутствие заголовков безопасности HTTP (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), например:
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • Проблемы SSL, например:
    ●  SSL-атаки, такие как BEAST, BREACH, Renegotiation Attack
    ●  Не включена прямая секретность SSL
    ●   Слабые или небезопасные наборы шифров SSL
  • Раскрытие баннера на общедоступных/общественных сервисах
  • Self-XSS и уязвимости, которые можно эксплуатировать только при помощи Self-XSS
  • Получение сведений в основном методами социальной инженерии (например, фишинг, вишинг, смишинг)

Уязвимости продуктов

  • внедрение dll в установщики ESET
  • Отсутствие SSL в серверах обновления/загрузки 
  • Тапджекинг

ESET всецело поддерживает и практикует принцип ответственного раскрытия, а также публично выражает признательность тем, кто сообщает об уязвимостях, если такие лица не пожелают остаться анонимными.

СПАСИБО.

ESET

Atstājiet pieprasījumu