Oppdaget et sikkerhetsproblem?

Fortell oss om det

ESETs produkter eller ressurser

Hvis du mener at du har funnet et sikkerhetsproblem i et ESET-produkt eller en av våre nettløsninger, vil vi gjerne få konfidensiell informasjon om det. Alle gyldige rapporter blir belønnet.

Nettsted – www.eset.com

Vårt samarbeid med HackTrophy gjør det enklere for oss å være i forkant av eventuelle problemer. Gi oss beskjed om eventuelle sikkerhetsproblemer på nettstedet vårt, og få belønning.

Uoversiktlige sikkerhetsproblemer

Nettprogrammer

  • Rapporter fra automatiserte verktøy eller skanninger
  • Tjenestenektangrep (DoS)
  • Man-in-the-middle-angrep
  • Angrep som krever fysisk tilgang til brukerens enhet
  • Hypotetiske problemer som ikke har praktiske konsekvenser
  • Offentlig tilgjengelige påloggingspaneler uten at det foreligger bevis på utnyttelse
  • Funn som i hovedsak kommer fra sosial manipulering (for eksempel phishing, vishing, smishing) og andre ikke-tekniske angrep
  • Informasjonens alvorlighetsgrad og utfordringer med lav alvorlighetsgrad
  • Spamming
  • Clickjacking og problemer som bare kan utnyttes via clickjacking.
  • Fingeravtrykk / banneravsløring på felles/offentlige tjenester.
  • Problemer med e-postkonfigurasjon (SPF, DKIM, DMARC-innstillinger)
  • Beskrivende feilmeldinger (for eksempel stakkspor, applikasjon- eller serverfeil)
  • HTTP 404-koder/sider eller andre HTTP ikke-200-koder/sider.
  • Utlevering av kjente offentlige eller ikke-sensitive filer eller mapper (for eksempel robots.txt, crossdomain.xml eller andre filer med retningslinjer, bruk av jokertegn eller feil konfigurasjon av jokertegn i disse).
  • Ikke-standard HTTP-metode er aktivert
  • Manglende sikkerhetsheadere (for eksempel Strict-Transport-Security, X-Frame-Options, X-XSS-Protection og X-Content-Type-Options)
  • Manglende Secure-/HTTP Only-/SameSite-flagg for ikke-sensitive informasjonskapsler.
  • Åpen omdirigering som ikke kan brukes til å hente ut sensitiv informasjon (sesjonsavhengige informasjonskapsler, OAuth-tokens)
  • Administrasjonsproblemer med flere samtidige aktive økter
  • Injeksjonsangrep mot Host-header
  • Self-XSS og problemer som bare kan utnyttes via Self-XS
  • CSRF i skjemaer som er tilgjengelige for anonyme brukere (f.eks. kontaktskjemaet).
  • CSRF ved utlogging
  • Forekomst av “autofullfør”- eller “lagre passord”- funksjonalitet i program eller nettleser.
  • Glemt passord-side brute force og låsing av konto ikke utført.
  • Utnyttelse av brukernavn/e-post uten ytterligere konsekvenser
  • Problemer med frekvensbegrensning
  • Svak Captcha / Captcha-omgåelse
  • Bruk av et kjent sårbarhetsbibliotek uten beskrivelse av et sikkerhetsproblem som er spesifikt for vår implementering
  • SSL-problemer (for eksempel svak/usikker chiffer, BEAST, BREACH, Renegotiation-angrep og lignende)

Produktsårbarhet

  • dll-injeksjon i ESET-installasjonsprogrammer
  • Ingen SSL i oppdaterings-/nedlastingsservere
  • Tapjacking

Sikkerhetsproblemkategorier vi er spesielt opptatt av

Vi behandler alle rapporter med høy prioritet og ser på alle problemer direkte sammen med anmelderen snarest mulig. Rapporten må skrives på engelsk og sendes til security@eset.com. Inkluder følgende informasjon:

  • Mål – ESETs server, identifisert med IP-adresse, vertsnavn, URL og så videre, eller ESET-produktet, inkludert versjonsnummer (se vår artikkel i KnowledgeBase for mer informasjon om versjonsnummer)
  • Type problem – type sårbarhet (for eksempel i samsvar med OWASP, for eksempel cross-site scripting, buffer overflow, SQL injection eller lignende), og legg ved en generell beskrivelse av sårbarheten.
  • Proof-of-Concept eller URL som viser sårbarheten – en demonstrasjon av sårbarheten som viser hvordan den fungerer. Eksempler inkluderer:
    URL med payload – for eksempel XSS i GET-forespørselsparametre
    Lenke til generell sjekker – for eksempel SSL-sårbarheter
    Video – generelt nyttig (hvis den lastes opp til en strømmetjeneste, må den gjøres privat)
    Loggfil fra ESET SysInspector (se slik lager du en ESET SysInspector-logg) eller Microsoft Problem Steps Recorder (se slik bruker du Problem Steps Recorder), hvis det er aktuelt
    ● Oppgi en så detaljert beskrivelse som mulig, eller send oss en kombinasjon av de aktuelle valgene.

Vi tar med glede imot eventuelle forslag til hvordan vi kan eliminere sårbarheten hvis det er aktuelt.

Hvis du vil kryptere e-post til oss, kan du bruke vår offentlige PGP-nøkkel

ESET er opptatt av å anerkjenne og offentlig kreditere dem som melder fra om sikkerhetsproblemer, med mindre de ønsker å forbli anonyme.

MANGE TAKK.