Oppdaget et sikkerhetsproblem?

Fortell oss om det

Sikkerhet er en prosess, ikke et mål.
Derfor kan du rapportere alle sikkerhetsproblemer som påvirker ESET-produkter eller -ressurser, bare send en melding til security@eset.com.

Sikkerhetsproblemkategorier vi er spesielt opptatt av


Vi behandler alle rapporter med høy prioritet og ser på alle problemer direkte sammen med anmelderen snarest mulig.
Når du lager en rapport, må det skje på engelsk via security@eset.com og inneholde følgende informasjon:

  • Mål – ESET-serveren identifisert med IP-adresse, vertsnavn, URL osv. for ESET-produktet, inklusive versjonsnummer (se vår KnowledgeBase-artikkel for å fastslå versjonsnummeret)
  • Type problem – typen sårbarhet (f.eks. iht. ASP, som cross-site scripting, bufferoverflyt, SQL injection osv.) og ta med en generell beskrivelse av sårbarheten.
  • Proof-of-concept og/eller URL som viser sårbarheten – en demonstrasjon av sårbarheten som viser hvordan det virker. Eksempler:
    ●  URL med payload – f.eks. XSS i GET-ordreparametre
    ●  Lenke til generell kontrollør – f.eks. SSL-sårbarhet
    ●  Video – kan generelt brukes (merk den “privat” hvis den lastes opp til en strømmingstjeneste)
    ●  Loggfil fra ESET SysInspector (se lage ESET SysInspector-logg) eller Microsoft Problem Steps Recorder (se bruke Problem Steps Recorder), hvis det er aktuelt
    ●  Vennligst gi en mest mulig detaljert beskrivelse, eller send oss en kombinasjon av noen av de foregående valgene. 

Vi tar med glede imot eventuelle forslag til hvordan vi kan eliminere sårbarheten hvis det er aktuelt.

Hvis du vil kryptere e-post til oss, kan du bruke vår offentlige PGP-nøkkel:

Uoversiktlige sikkerhetsproblemer

Nettprogrammer

  • Beskrivende feilmeldinger (f.eks. stakkspor, program- eller serverfeil).
  • HTTP 404-koder/sider eller andre HTTP ikke-200-koder/sider.
  • Fingeravtrykk / banneravsløring på felles/offentlige tjenester.
  • Offentliggjøring av kjente offentlige filer eller mapper, (f.eks. robots.txt).
  • Clickjacking og problemer som bare kan utnyttes via clickjacking.
  • CSRF i skjemaer som er tilgjengelige for anonyme brukere (f.eks. kontaktskjemaet).
  • Logout Cross-Site Request Forgery (logout CSRF).
  • Forekomst av “autofullfør”- eller “lagre passord”- funksjonalitet i program eller nettleser.
  • Mangel på Secure/HTTP Only-flagg på ikke-sensitive informasjonskapsler.
  • Mangel på sikkerhetsfartsdump når du forlater nettstedet.
  • Svak Captcha / Captcha-omgåelse
  • Glemt passord-side brute force og låsing av konto ikke utført.
  • OPTIONS HTTP-metode aktivert
  • Brukernavn-/e-postliste
    ● via feilmelding på påloggingssiden
    ● via feilmelding Glemt passord
  • Manglende HTTP security headers, spesielt (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), f.eks.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL-problemer, f.eks.
    ●  SSL-angrep som BEAST, BREACH, Renegotiation-angrep
    ●  SSL Forward secrecy ikke aktivert
    ●  SSL svake / usikre cipher suites
  • Banneravsløring på felles/offentlige tjenester.
  • Self-XSS og problemer som bare kan utnyttes via Self-XSS
  • Funnene kommer hovedsakelig fra sosial manipulering (f.eks. phishing, vishing, smishing)

Produktsårbarhet

  • dll-injeksjon i ESET-installasjonsprogrammer
  • Ingen SSL i oppdaterings/nedlastingsservere
  • Tapjacking

ESET er opptatt av å anerkjenne og offentlig kreditere dem som melder fra om sikkerhetsproblemer, med mindre de ønsker å forbli anonyme.

MANGE TAKK.

ESET