هل إكتشفت ثغرات أمنية؟

يمكنك إخبارنا عنها

ESET products or resources

إذا كنت تعتقد أنك عثرت على ثغرة أمنية في أي منتج أو تطبيق ويب خاص بـ إسيت ، فالرجاء إخبارنا بسرية تامة. سيكافأ كل تقرير صحيح

Website - www.eset.com

إن شراكتنا مع HackTrophy تساعدنا على البقاء أمام أي مشاكل محتملة. أخبرنا عن أي مشكلة أمنية على موقعنا الإلكتروني و احصل على مكافأتك.

خارج نطاق الثغرات الأمنية

تطبيقات الويب

  • Reports from automated tools or scans
  • Denial of Service Attacks
  • Man in the middle attacks
  • Attacks requiring physical Access to user's device
  • Hypothetical issues that do not have any practical impact
  • Publicly accessible login panels without proof of exploitation
  • Findings derived primarily from social engineering (e.g. phishing, vishing, smishing) & other non-technical attacks
  • Informative severity & low severity issues
  • Spamming
  • Clickjacking and issues only exploitable through clickjacking.
  • Fingerprinting / banner disclosure on common/public services.
  • Mail configuration issues (SPF, DKIM, DMARC settings)
  • Descriptive error messages (e.g. Stack Traces, application or server errors)
  • HTTP 404 codes/pages or other HTTP non-200 codes/pages.
  • Disclosure of known public or non-sensitive files or directories, (e.g. robots.txt,crossdomain.xml or any other policy files, wildcard presence/misconfiguration in these).
  • Nonstandard HTTP method enabled
  • Missing Security headers (such as Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Lack of Secure/HTTP Only/SameSite flags on non-sensitive Cookies.
  • Open redirect that cannot be used to exfiltrate sensitive information (session cookies, OAuth tokens)
  • Management issues with multiple concurrent active sessions
  • Host-header injection Attacks
  • Self-XSS and issues exploitable only through Self-XS
  • CSRF on forms that are available to anonymous users (e.g. the contact form).
  • CSRF on logout
  • Presence of application or web browser ‘autocomplete’ or ‘save password’ functionality.
  • Forgot Password page brute force and account lockout not enforced.
  • Username / email enumeration without any further impact
  • Rate-limiting issues
  • Weak Captcha / Captcha Bypass
  • Use of a known-vulnerable library without a description of an exploit specific to our implementation
  • SSL Issues (example: weak/insecure cipher, BEAST, BREACH, Renegotiation attack, etc.)

نقاط ضعف المنتج

  • dll injection in ESET installers
  • No SSL in update/download servers 
  • Tapjacking

نحن نشجع على إكتشاف نقاط الضعف


نتعامل مع جميع التقارير ذات أولوية عالية، و نبحث في جميع القضايا مباشرة مع المرسل بأسرع وقت.
يرجى عند تقديم تقرير، أن تفعل ذلك باللغة الإنجليزية عبر security@eset.comو يرجى تقديم البيانات التالية:

  • الهدف – إسيت سيرفر محدد بواسطة عنوان IP , إسم المضيف, الرابط الإلكترونى أو منتج إسيت, و رقم الإصدار (نظرة على قاعدة المعرفة لتحديد رقم الإصدار)
  • نوع المشكلة – نوع المشكلة أو نقاط الضعف (e.g. according to OWASP, such as cross-site scripting, buffer overflow, SQL injection, etc.) و تتضمن وصفاً عاماً للمشكلة.
  • إثبات المشكلة أو دليل على المشكلة – بعض الإثباتات على الضعف أو المشكلة لنتحقق  منها:
    ●  URL containing payload – e.g. XSS in GET request parameters
    ●  Link to general checker – e.g. SSL vulnerabilities
    ●  الفيديو – يمكن إستخدامه بشكل عام (في حالة تحميله إلى خدمة بث، يرجى وضع علامة عليه على أنه خاص)
    ●  سجل ملف من ESET SysInspector (إكتشف كيفية إنشاء ملف على ESET SysInspector ) أو مشكلة عن مايكروسوفت خطوات مسجلة (أنظر كيف يمكن إستخدام خطوات تسجيل المشكلة)
    ●  يرجى تقديم وصف مفصل إذا أمكنك، أو أرسل لنا مجموعة من الخيارات السابقة. 

و نحن نرحب ترحيباً حاراً بأي توصيات حول كيفية إصلاح الثغرة الأمنية، إن أمكن.

لتشفير إتصالات البريد الإلكتروني بيننا، , يرجى إستخدام مفتاح PGP public:

لدينا إيمان قوى جداً بإسيت فضلاً عن المسؤلية فى ممارسة عملية الكشف المستمرة و تقديم تقارير لنقط الضعف الأمنية .

شكراً لك.