Bir güvenlil açığı mı keşfettiniz?

Bize bilgi verin

Güvenlik bir sonuç değil süreçtir.
Bu yüzden bize yazabilirisiniz. ESET ürün ya da kaynaklarını etkileyebilecek her türlü güvenlik açığını raporlayın. security@eset.com.

Teşvik ettiğimiz güvenlik açığı kategorileri


Bütün şikâyet ve önerilere öncelik vererek, hemen araştırmasını yaparak şikâyet/öneri sahibine en kısa zamanda döneriz.
Şikâyet ve önerilerinizde aşağıdaki bilgilerle beraber security@eset.com adresine İngilizce olarak yapmanızı rica ederiz:

  • Hedef – IP adresi tarafından tanımlanmış ESET sunucusu, sunucu adı, ESET ürün URL ve diğer bilgileri, sürüm versiyonu (sürüm versiyonunu anlamak için Bilgi Havuzu makalesine göz atın)
  • Konu türü – zafiyet çeşidi (örn: OWASP'a göre, çapraz site komut çalıştırma, arabellek aşımı, SQL saldırısı vb.) ve zafiyetin genel bir tanımını da ekleyiniz.
  • Zafiyetin nasıl çalıştığının demosu – nasıl çalıştığını gösteren bir zaafiyet demosu. Eklenecek örnekler:
    ●  URL containing payload – örn: GET istek parametresi içindeki XSS
    ●  Genel kontrol bağlantısı – örn: SSL zafiyeti
    ●  Video – genellikle kullanılan (İnternet üzerinden yayın hizmetine yükleme ise, lütfen özel olarak işaretleyiniz)
    ●  Log dosyası ESET SysInspector eğer uygunsa (inceleyin ESET SysInspector log nasıl yaratılır) ya da Microsoft Problem Steps Recorder (inceleyin Problem Steps Recorder nasıl kullanılır)
    ●  Lütfen verebildiğiniz kadar detay veya önceki seçimlerin karması olarak bizlere ulaştırınız 

Sizlerden gelebilecek, uygulanabilir, her türlü zafiyet onarımı tavsiyesine açığız.

Bizimle yaptığınız e-posta yazışmalarını şifrelemek için lütfen PGB genel anahtarımızı kullanın PGP public key:

Kapsam dışı açıklar

Web Uygulamaları

  • Tanımlayıcı hata mesajları (örn: yığın izleme, uygulama veya sunucu hataları).
  • HTTP 404 kodları/sayfaları veya başka HTTP non-200 kodları/sayfaları.
  • Genel kullanıma açık hizmetlerde parmak izi kontrolü / banner gösterimi/açıklığı.
  • Genel kullanıma açık dosya ve dizinlerin gösterimi/açıklığı (örn: robots.txt).
  • Farkında olmadan yapılan tıklama ile yapılan saldırılar ve yarattığı sorunlar.
  • Anonim kullanıcılar tarafından kullanılabilen formlar hakkında CSRF (örn: iletişim formu).
  • Oturumu Kapatma İsteği Sahteciliği (Oturumu Kapatma CSRF).
  • Uygulama ya da web tarayıcısı 'otomatik tamamlama' veya 'şifreyi kaydet' özelliği.
  • Kısıtlanmamış çerezlerde Sadece Güvenli/HTTP uyarısının olmaması.
  • Siteden ayrılırken Security Speedbump'ın olmaması.
  • Zayıf güvenlik kodu / güvenlik kodu Bypass'ı
  • Şifremi unuttum sayfasının zorlaması ile hesap kilitlenmesinin zorunlu olmaması.
  • OPTIONS HTTP methodunun etkinleştirilmiş olması
  • Kullanıcı adı/e-postaların detaylı listelenmesi
    ●  Oturum açma hatası mesajı ile
    ●  Şifremi unuttum hatası mesajı ile
  • • Eksik HTTP güvenliği üstibilgileri, özellikle (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), örn;
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Sorunları, örn:
    ●  BEAST, BREACH, Renegotiation gibi SSL saldırıları
    ●  Etkin olmayan SSL iletme gizliliği
    ●  Zayıf/güvenli olmayan SSL şifre suite'leri
  • Genel kullanıma açık hizmetlerde banner gösterimi
  • Self-XSS ve sadece Self-XSS üzerinden sömürülebilir vakalar
  • Phishing, vishing, smishing gibi yöntemlerle ulaşılabilinen bilgiler

Ürün Güvenlik açıkları

  • ESET yükleyicilerinde dll enjeksiyonu
  • Güncelleme/indirme server'larında SSL yok
  • Tapjacking

ESET, önleyici görevinin yanında, sistem açığı raporlaması yapıp çözüm bulan kişilerin tanıtımını yapar. Öte yandan İsminin gizli kalmasını isteyen kişilerin bu taleplerine de saygı duyar.

TEŞEKKÜRLER.

ESET