Vai atklājāt ievainojamību?

Pastāstiet mums par to

Drošība ir process, nevis galapunkts.
Tāpēc varat ziņot par ikvienu ievainojamību, kas ietekmē ESET produktus vai resursus.Vienkārši uzrakstiet mums: security@eset.com.

Mēs stiprinām ievainojamas kategorijas


Mēs ikvienam ziņojumam piešķiram augstu prioritāti un visus jautājumus izskatām tiešā sadarbībā ar ziņojuma iesniedzēju, cik ātri vien iespējams.
Lūdzu, iesniedziet ziņojumu angļu valodā, rakstot uz security@eset.com un norādot tālāk minēto informāciju.

  • Mērķis – ESET serveris, ko var identificēt pēc IP adreses, saimniekdatora nosaukuma, URL utt. vai ESET produkts, tostarp tā versijas numurs (skatiet mūsu KnowledgeBase rakstu, lai noteiktu versijas numuru)
  • Problēmas veids – Ievainojamības veids (piem., saskaņā ar OWASP — starpvietņu skriptēšana, bufera pārpilde, SQL inficēšana u.c.); norādiet vispārīgu ievainojamības aprakstu.
  • Koncepcijas pareizības pierādījums un/vai URL, kurā parādīta ievainojamība – Ievainojamības demonstrēšana, kurā parādīts, kā tā darbojas. Piemēri ietver tālāk norādītos.
    ●  URL, kas satur lietderīgu slodzi, piem., XSS pieprasījuma GET parametros
    ●  Saite uz vispārīgu pārbaudes rīku, piem., SSL ievainojamība
    ●  Videoklips, kas ir vispārīgi izmantojams (atzīmējiet videoklipu kā privātu, ja to augšupielādējat straumēšanas pakalpojumā)
    ●  Žurnālfails no rīka ESET SysInspector (skatiet, kā izveidot ESET SysInspector žurnālu) vai no Microsoft Problēmu darbību reģistrētāja (skatiet, kā izmantot Problēmu darbību reģistrētāju), ja nepieciešams
    ●  Norādiet pēc iespējas detalizētāku aprakstu vai nosūtiet iepriekš minētos piemērus jebkādā kombinācijā. 

Mēs noteikti uzklausīsim jebkurus ieteikumus, ja tādi būs, par ievainojamības novēršanu.

Lai šifrētu jūsu e-pasta saziņu ar mums, lūdzu, izmantojiet mūsuPGP publisko atslēgu.

Šeit nenorādītas ievainojamības

Tīmekļa lietojumprogrammas

  • Aprakstoši kļūdas ziņojumi (piem., steka izsekošana, lietojumprogrammas vai servera kļūdas)
  • HTTP 404 kodi/lapas vai citi kodi/lapas, kas nav HTTP 200
  • Pirkstu nospiedumu lasīšana/ reklāmjoslas atklāšana vispārīgos/publiskos pakalpojumos
  • Zināmu publisko failu vai katalogu atklāšana (piem., robots.txt)
  • Klikšķu informācijas zādzība un problēmjautājumi, kas tiek ļaunprātīgi izmantoti tikai ar klikšķu informācijas zādzības starpniecību
  • CSRF veidlapās, kas pieejamas anonīmiem lietotājiem (piem., saziņas veidlapa)
  • Starpvietņu izrakstīšanās pieprasījuma viltojums (izrakstīšanās CSRF)
  • Lietojumprogrammas vai tīmekļa pārlūkprogrammas funkcija “automātiska aizpildīšana” vai “paroles saglabāšana”
  • Drošu/tikai HTTP ziņošanas iespēju trūkums nesensitīvos sīkfailos
  • Drošības ātrumvaļņa trūkums, atstājot vietni
  • Vājš CAPTCHA uzdevums/CAPTCHA uzdevuma apiešana
  • Paroles aizmiršanas lapas brutāls spēks un konta slēgums netiek izpildīts
  • Iespējota OPTIONS HTTP metode
  • Lietotājvārda/e-pasta adreses uzskaite
    ●  izmantojot pieteikšanās lapas kļūdas paziņojumu
    ●  izmantojot paroles aizmiršanas lapas kļūdas paziņojumu
  • Trūkstošas HTTP drošības galvenes, konkrētāk (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), piem.:
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL problēmas, piem.,:
    ●  SSL uzbrukumi, piemēram, BEAST, BREACH, Renegotiation uzbrukums
    ●  SSL pāradresācijas slepenība nav iespējota
    ●  SSL vāji/nedroši šifrēšanas komplekti
  • Reklāmjoslas atklāšana vispārīgos/publiskos pakalpojumos
  • Self-XSS un problēmjautājumi, kas tiek ļaunprātīgi izmantoti tikai ar Self-XSS starpniecību
  • Secinājumi, kas galvenokārt iegūti no sociālās inženierijas (pikšķerēšana, balss pikšķerēšana, SMS pikšķerēšana)

Produktu ievainojamības

  • DLL inficēšana ESET instalētājos
  • Atjaunināšanas/lejupielādes serveros nav SSL 
  • Pieskaršanās informācijas zādzība (tapjacking)

ESET praktizē un ļoti paļaujas uz atbildīgu informācijas atklāšanas procesu un publiski pauž pateicību tiem, kuri ziņo par drošības ievainojamību, ja vien viņi nevēlas palikt anonīmi.

PALDIES!

ESET

Atstājiet pieprasījumu