هل إكتشفت ثغرات أمنية؟

يمكنك إخبارنا عنها

الأمن هو عملية مستمرة، و ليس له نهاية.
لهذا السبب يمكنك الإبلاغ عن أي ثغرات أمنية قد تؤثر على منتجات أو موارد إسيت, فقط اكتب لنا على security@eset.com.

نحن نشجع على إكتشاف نقاط الضعف


نتعامل مع جميع التقارير ذات أولوية عالية، و نبحث في جميع القضايا مباشرة مع المرسل بأسرع وقت.
يرجى عند تقديم تقرير، أن تفعل ذلك باللغة الإنجليزية عبر security@eset.comو يرجى تقديم البيانات التالية:

  • الهدف – إسيت سيرفر محدد بواسطة عنوان IP , إسم المضيف, الرابط الإلكترونى أو منتج إسيت, و رقم الإصدار (نظرة على قاعدة المعرفة لتحديد رقم الإصدار)
  • نوع المشكلة – نوع المشكلة أو نقاط الضعف (e.g. according to OWASP, such as cross-site scripting, buffer overflow, SQL injection, etc.) و تتضمن وصفاً عاماً للمشكلة.
  • إثبات المشكلة أو دليل على المشكلة – بعض الإثباتات على الضعف أو المشكلة لنتحقق  منها:
    ●  URL containing payload – e.g. XSS in GET request parameters
    ●  Link to general checker – e.g. SSL vulnerabilities
    ●  الفيديو – يمكن إستخدامه بشكل عام (في حالة تحميله إلى خدمة بث، يرجى وضع علامة عليه على أنه خاص)
    ●  سجل ملف من ESET SysInspector (إكتشف كيفية إنشاء ملف على ESET SysInspector ) أو مشكلة عن مايكروسوفت خطوات مسجلة (أنظر كيف يمكن إستخدام خطوات تسجيل المشكلة)
    ●  يرجى تقديم وصف مفصل إذا أمكنك، أو أرسل لنا مجموعة من الخيارات السابقة. 

و نحن نرحب ترحيباً حاراً بأي توصيات حول كيفية إصلاح الثغرة الأمنية، إن أمكن.

لتشفير إتصالات البريد الإلكتروني بيننا، , يرجى إستخدام مفتاح PGP public:

خارج نطاق نقاط الضعف

Web applications

  • Descriptive error messages (e.g. Stack Traces, application or server errors).
  • HTTP 404 codes/pages or other HTTP non-200 codes/pages.
  • Fingerprinting / banner disclosure on common/public services.
  • Disclosure of known public files or directories, (e.g. robots.txt).
  • Clickjacking and issues only exploitable through clickjacking.
  • CSRF on forms that are available to anonymous users (e.g. the contact form).
  • Logout Cross-Site Request Forgery (logout CSRF).
  • Presence of application or web browser ‘autocomplete’ or ‘save password’ functionality.
  • Lack of Secure/HTTP Only flags on non-sensitive Cookies.
  • Lack of Security Speedbump when leaving the site.
  • Weak Captcha / Captcha Bypass
  • Forgot Password page brute force and account lockout not enforced.
  • OPTIONS HTTP method enabled
  • Username / email enumeration
    ●  via Login Page error message
    ●  via Forgot Password error message
  • Missing HTTP security headers, specifically (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), e.g.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Issues, e.g.
    ●  SSL Attacks such as BEAST, BREACH, Renegotiation attack
    ●  SSL Forward secrecy not enabled
    ●  SSL weak / insecure cipher suites
  • Banner disclosure on common/public services
  • Self-XSS and issues exploitable only through Self-XSS
  • Findings derived primarily from social engineering (e.g. phishing, vishing, smishing)

Product vulnerabilities

  • dll injection in ESET installers
  • No SSL in update/download servers 
  • Tapjacking

لدينا إيمان قوى جداً بإسيت فضلاً عن المسؤلية فى ممارسة عملية الكشف المستمرة و تقديم تقارير لنقط الضعف الأمنية .

شكراً لك.

إسيت