Beveiligingsprobleem ontdekt?

Laat het ons weten

Veiligheid is een proces en niet een eindbestemming.Daarom kun je problemen met de beveiliging van ESET-producten of middelen bij ons melden, stuur een e-mail naar security@eset.com met je bevindingen.

Kwetsbaarheid categorieën die we aanmoedigen

Wij behandelen alle meldingen zo snel mogelijk met hoge prioriteit en rechtstreeks met de rapporteur. Wanneer je een melding maakt van een kwetsbaarheid, stuur ons een Engelstalige e-mail via security@eset.com met de volgende informatie:

  • Doel – ESET server geïdentificeerd door het IP-adres, hostnaam, URL enz. Of het ESET product met het versienummer (bekijk ons kennisbank artikel om te zien welk versie nummer je hebt)
  • Soort probleem – de soort kwetsbaarheid (OWASP, zoals cross-site scripting, bufferoverloop, SQL-injectie, etc.) overflow, SQL injectie, etc.) en voeg een algemene omschrijving van het probleem toe.
  • Proof-of-concept en/of de URL om de kwetsbaarheid aan te tonen – een demonstratie van de kwetsbaarheid die laat zien hoe het werkt. Voorbeelden bevatten:
    ●  URL met de payload – b.v. XSS in GET request parameters
    ●  Link naar de algemene checker – b.v. SSL kwetsbaarheden
    ●  Video – over het algemeen bruikbaar (indien je de video uploadt naar een streaming-dienst, sla hem dan op als privé video)
    ●  Logbestand van de ESET SysInspector (bekijk hoe je een ESET SysInspector log maakt) of Microsoft Problem Steps Recorder (bekijk hoe je Problem Steps Recorder gebruikt), indien van toepassing
    ●  Geef een zo gedetailleerd mogelijke beschrijving, of stuur ons een combinatie van één van de eerdere opties.

Wij verwelkomen eventuele aanbevelingen over hoe de kwetsbaarheid mogelijk opgelost kan worden.

Om jouw e-mailcommunicatie met ons te versleutelen, kun je gebruik maken van onze openbare PGP sleutel:

Kwetsbaarheden buiten het toepassingsgebied

Web applications

  • Beschrijvende foutmeldingen (bijvoorbeeld Stack Traces, applicatie of server foutmeldingen).
  • HTTP 404 codes/pagina’s of andere HTTP niet-200 codes/pagina’s.
  • Fingerprinting / banner toelichting op veel voorkomende / publieke services.
  • Openbaarmaking van bekende openbare bestanden of mappen (bijvoorbeeld robots.txt).
  • Clickjacking en exploiteerbare problemen door clickjacking.
  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijvoorbeeld Het contactformulier).
  • Afmelden Cross-site aanvraag vervalsing (uitloggen CSRF).
  • Aanwezigheid van applicatie of web browser ‘automatisch invullen’ of ‘wachtwoord opslaan functionaliteiten.
  • Gebrek aan veilige/HTTP Only vlaggen op niet gevoelige cookies.
  • Gebrek aan beveiliging bij het verlaten van de site.
  • Zwakke Captcha / Captcha Bypass
  • Wachtwoord vergeten pagina, brute force en niet afgedwongen accountvergrendeling.
  • Opties HTTP methode ingeschakeld
  • Gebruikersnaam / e-mail opsomming
    ●  via loginpagina foutmelding
    ●  via vergeten foutmelding
  • Ontbrekende HTTP beveiligingsheaders, in het bijzonder (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), e.g.
      Strict-Transport-Security
    ●  X-Frame-Opties
    ●  X-XSS-Beveiliging
    ●  X-Content-Type-Opties
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Problemen zoals:
    ●  SSL Aanvallen zoals BEAST, BREACH en Renegotiation aanval
    ●  SSL geheimhouding doorsturen niet ingeschakeld
    ●  SSL zwak / onzekere codering suites
  • Banner disclosure on common/public services
  • Self-XSS en exploiteerbare problemen via self -XSS
  • Bevindingen hoofzakelijk verkregen door social engineering (bijvoorbeeld phishing, vishing en smishing)

Product kwetsbaarheden

  • dll injecties in ESET installers
  • Geen SSL-update /download servers
  • Tapjacking

ESET is groot voorstander én beoefenaar van het openbaar maken van processen en het publiekelijk bedanken van rapporteurs indien zij niet anoniem willen blijven.

Bedankt.

ESET