Har du upptäckt en säkerhetsbrist?

Berätta för oss

ESET-produkter eller -resurser

Om du tror dig ha hittat ett säkerhetsproblem i någon ESET-produkt eller webbapplikation, vänligen informera oss konfidentiellt. Varje giltig rapport kommer att belönas.

Webbplats – www.eset.com

Vårt samarbete med HackTrophy hjälper oss att ligga steget före möjliga problem. Berätta för oss om eventuella säkerhetsproblem på vår webbplats och så kan du få en belöning.

Sårbarheter som inte omfattas

Webbapplikationer

  • Rapporter från automatiserade verktyg eller genomsökningar
  • Överbelastningsattacker
  • Man in the middle-attacker
  • Attacker som kräver fysisk åtkomst till användarens enhet
  • Hypotetiska problem utan någon praktisk inverkan
  • Publikt tillgängliga inloggningssidor utan något bevis på hur en svaghet kan utnyttjas
  • Resultat som huvudsakligen härrör från social engineering (t.ex. phishing eller bedrägeriförsök via röstsamtal eller sms) eller andra attacker som inte är av teknisk natur
  • Problem av låg allvarlighetsgrad eller enbart på notifieringsnivå
  • Skickande av spam
  • Clickjacking och problem som endast kan utnyttjas via clickjacking.
  • Identifiering och presentation via banner för gemensamma eller publika tjänster.
  • Problem med e-postkonfiguration (inställningar för SPF, DKIM, och DMARC)
  • Beskrivande felmeddelanden (t.ex. spårningsdumpar, program- eller serverfel)
  • HTTP 404-koder/sidor eller andra HTTP-svarskoder/sidor som inte är 200.
  • Avslöjande av publikt kända filer eller kataloger eller sådana som inte innehåller känslig information (t.ex. robots.txt, crossdomain.xml eller andra policy-filer, förekomst av jokertecken eller felaktig konfiguration i dessa filer).
  • Aktiverad HTTP-metod som avviker från standard
  • Att säkerhets-headers saknas (såsom Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Avsaknad av flaggor Secure/HTTP Only/SameSite för cookies utan känsligt innehåll.
  • Öppen omdirigering som inte kan användas till att filtrera fram känslig information (t.ex. sessions-cookie eller OAuth-nyckel)
  • Hanteringsproblem med flera samtidiga aktiva sessioner
  • Attacker som bygger på injektion av främmande host-header
  • Self-XSS och problem som endast kan utnyttjas via self-XS
  • CSRF i formulär som är tillgängliga för ej inloggade användare (t.ex. kontaktformulär).
  • CSRF vid utloggning
  • Förekomst av program eller funktion i webbläsaren för automatisk ifyllning av lösenord eller funktion för att spara lösenord.
  • Råstyrkeattack möjlig vid glömt lösenord och kontolåsning ej framtvingad.
  • Listning av användarnamn/e-postadresser utan någon ytterligare påverkan
  • Problem med begränsning av hastighet
  • Svag captcha/förbigående av captcha
  • Utnyttjande av en känd sårbarhet i något resursbibliotek utan någon specifik beskrivning av hur denna kan utnyttjas i vår implementering
  • SSL-problem (till exempel: svag/osäker kryptering, BEAST, BREACH, Renegotiation o.s.v.)

Sårbarheter i produkter

  • dll-injicering i ESET-installationsprogram
  • Ingen SSL på servrar för uppdateringar eller nedladdningar
  • Clickjacking

Sårbarhetskategorier vi uppmuntrar

Vi behandlar alla rapporter med prioritet och utreder alla ärenden direkt med rapportören så snart som möjligt. När du skickar en rapport ber vi dig göra det på engelska till security@eset.com och inkludera följande information:

  • Mål – en ESET-server, identifierad via ip-adress, servernamn, url och så vidare eller ESET-produkt, inklusive versionsnummer (läs vår artikel i KnowledgeBase om hur du hittar rätt versionsnummer)
  • Typ av problem – sårbarhetstyp (t.ex. enligt OWASP, såsom cross-site scripting, buffer overflow, SQL-injicering o.s.v.) och inkludera en allmän beskrivning av sårbarheten.
  • Proof-of-concept och/eller en URL som visar på sårbarheten – en demonstration av sårbarheten som visar hur den fungerar. Exempel på detta kan vara:
    en URL som innehåller ett angrepp – t.ex. XSS i GET-parametrar
    Länk till en allmän kontrollfunktion – t.ex. SSL-sårbarheter
    Video – kan i allmänhet vara användbar (om du laddar upp videoklippet till någon streaming-tjänst ber vi dig att inte märka den som publikt tillgänglig)
    Loggfil från ESET SysInspector (se hur du skapar en loggfil med ESET SysInspector
    ● Ge oss så detaljerad beskrivning som möjligt eller skicka oss en valfri kombination utifrån ovanstående alternativ.

I tillämpliga fall välkomnar vi eventuella rekommendationer om hur sårbarheten kan åtgärdas.

För kryptering av dina e-postmeddelanden till oss ber vi dig använda vår publika PGP-nyckel:

ESET är en stark anhängare och utövare av processen för ansvarsfullt avslöjande och ger publikt erkännande till rapportörer av säkerhetsproblem för dessas insatser om de inte önskar att förbli anonyma.

TACK.