Een kwetsbaarheid in de beveiliging ontdekt?

Laat het ons weten

ESET-producten of -middelen

Als je denkt dat je een kwetsbaarheid hebt gevonden in een ESET-product of webapplicatie, kun je ons daarvan op vertrouwelijke wijze op de hoogte brengen. Elke geldige melding wordt beloond.

Website - www.eset.com

Onze samenwerking met HackTrophy helpt ons om potentiële problemen voor te blijven. Houd ons op de hoogte van eventuele beveiligingsproblemen op onze website en claim je beloning.

Kwetsbaarheden buiten de scope

Webapplicaties

  • Rapporten van geautomatiseerde tools of scans
  • Denial of Service aanvallen
  • 'Man in the Middle' aanvallen
  • Aanvallen die fysieke toegang tot het apparaat van de gebruiker vereisen
  • Hypothetische kwesties die geen praktische impact hebben
  • Openbaar toegankelijke inlogpanelen zonder bewijs van exploitatie
  • Bevindingen die voornamelijk zijn afgeleid van social engineering (bijv. phishing, vishing, smishing) & andere niet-technische aanvallen
  • Informatieve problemen met een geringe ernst
  • Spamming
  • Clickjacking en problemen alleen bruikbaar via clickjacking
  • Vingerafdruk/banner onthulling op gemeenschappelijke/publieke diensten
  • Problemen met de e-mailconfiguratie (SPF, DKIM, DMARC-instellingen)
  • Beschrijvende foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten)
  • HTTP 404-codes/pagina's of andere HTTP-codes/pagina's die niet 200 zijn
  • Openbaarmaking van bekende openbare of niet-gevoelige bestanden of mappen (bijv. robots.txt, crossdomain.xml of andere beleidsbestanden, wildcard aanwezigheid/misconfiguratie in deze bestanden)
  • Niet-standaard HTTP-methode ingeschakeld
  • Ontbrekende veiligheidskoppen (zoals strikte transportbeveiliging, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Gebrek aan Secure/HTTP Only/SameSite vlaggen op niet-gevoelige cookies
  • Open redirect die niet kan worden gebruikt om gevoelige informatie te exfiltreren (sessiecookies, OAuth tokens)
  • Beheersvraagstukken met meerdere gelijktijdige actieve sessies
  • Host-header-injectie Aanvallen
  • Self-XSS en problemen die alleen via Self-XS exploiteerbaar zijn
  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijvoorbeeld het contactformulier)
  • CSRF bij uitloggen
  • Aanwezigheid van toepassing of webbrowser 'autocomplete' of 'save password' functionaliteit
  • Wachtwoord vergeten pagina brute force en account lock-out niet afgedwongen
  • Gebruikersnaam/e-mail opsomming zonder verdere impact
  • Tariefbeperkende kwesties
  • Zwakke Captcha/Captcha Bypass
  • Gebruik van een bekende kwetsbare bibliotheek zonder een beschrijving van een exploit specifiek voor onze implementatie
  • SSL-kwesties (voorbeeld: zwakke/onveilige versleuteling, BEAST, BREACH, heronderhandelingsaanval, enz.)

Product vulnerabilities

  • dll injecties in ESET installatiebestanden
  • Geen SSL in update/download servers 
  • Tapjacking

Kwetsbaarheidscategorieën die we aanmoedigen

Wij behandelen alle meldingen met hoge prioriteit en onderzoeken alle zaken zo snel mogelijk rechtstreeks met de melder. Wanneer je een melding maakt, doe dit dan in het Engels via security@eset.com en voeg de volgende informatie toe:

  • Doel – ESET-server geïdentificeerd aan de hand van IP-adres, hostnaam, URL enzovoort of het ESET-product, inclusief versienummer (zie ons KnowledgeBase artikel om het versienummer te bepalen)
  • Type probleem – het type kwetsbaarheid (bijv. volgens OWASP, zoals cross-site scripting, buffer overflow, SQL-injectie, etc.) en een algemene beschrijving van de kwetsbaarheid.
  • Proof-of-concept en/of URL die de kwetsbaarheid aantoont – een demonstratie van de kwetsbaarheid die laat zien hoe het werkt. Voorbeelden hiervan zijn:
    ●  URL met payload – bijvoorbeeld XSS in GET request parameters
    ●  Link naar algemene checker – bijvoorbeeld SSL-kwetsbaarheden
    ●  Video – over het algemeen bruikbaar (indien geüpload naar een streaming dienst, markeer deze dan als privé)
    ●  Logbestand van ESET SysInspector (bekijk hoe je een ESET SysInspector log kunt aanmaken) of Microsoft Problem Steps Recorder (bekijk hoe je gebruikt kunt maken van Problem Steps Recorder), indien van toepassing
    ●  Geef een zo gedetailleerd mogelijke beschrijving of stuur ons een combinatie van de vorige keuzes.

Eventuele aanbevelingen voor het oplossen van de kwetsbaarheid, zijn van harte welkom.

Gebruik onze PGP sleutel om je e-mailcommunicatie naar ons te versleutelen

ESET is een groot voorstander, maar ook een beoefenaar van het openbaarmakingsproces en erkent de rapporteurs voor hun inspanningen als zij niet anoniem willen blijven.

BEDANKT.