發現了一個安全漏洞?

告訴我們

ESET產品或資源

如果您認為自己在任何ESET產品或網絡應用程序中發現了漏洞,請以保密方式通知我們。 每份有效的報告都會得到獎勵。

網站 - www.eset.com

我們與HackTrophy的合作有助於我們始終領先於任何潛在的問題。 讓我們知道我們網站上的任何安全問題並要求您的獎勵。

安全是一個過程,而不是目的地。
這就是為什麼您可以報告影響ESET產品或資源的任何安全漏洞的原因,只需向我們發送一行到security@eset.com即可。

我們鼓勵的漏洞類別


我們會優先處理所有報告,並儘快直接與記者調查所有問題。
請以英文在報告至 security@eset.com,並提供以下信息:

  • 目標 – 由IP地址,主機名,URL等標識的ESET服務器或ESET產品,包括版本號(請參閱我們的 知識庫文章 以確定版本號)
  • 問題類型 – 漏洞的類型(例如,根據OWASP,例如跨站點腳本,緩衝區溢出,SQL注入等),並包括漏洞的一般描述。
  • 證明漏洞的概念證明和/或URL – 演示漏洞的演示,展示其工作原理。 示例包括:
    包含有效負載的網址 – 例如 GET請求參數中的XSS
    ●  鏈接到一般檢查器 – 例如 SSL漏洞
    ●  視頻 – 通常可用(如果上傳到流媒體服務,請將其標記為私人)
    ●  日誌文件 來自ESET SysInspector(請參閱 如何創建ESET SysInspector日誌) 或Microsoft問題步驟記錄器(請參閱 如何使用問題步驟記錄器),如果適用的話
    ●  請盡可能詳細說明,或向我們發送任何先前選擇的組合。

如果適用,我們熱烈歡迎有關如何修復漏洞的任何建議。

要加密您與我們的電子郵件通信,請使用我們的PGP公鑰

超出範圍的漏洞

Web應用程序

  • 描述性錯誤消息(例如堆棧跟踪,應用程序或服務器錯誤)。
  • HTTP 404代碼/頁面或其他HTTP非200代碼/頁面。
  • 關於共同/公共服務的指紋/橫幅披露。
  • 披露已知的公共文件或目錄(例如robots.txt)。
  • 點擊劫持並且只能通過點擊劫持來發布。
  • CSRF在匿名用戶可用的表單上(例如聯繫表單)。
  • 註銷跨站請求偽造(註銷CSRF)。
  • 存在應用程序或Web瀏覽器"自動完成"或"保存密碼"功能。
  • 在非敏感Cookie上缺少Secure / HTTP Only標記。
  • 離開網站時缺乏安全Speedbump。
  • 弱Captcha / Captcha旁路
  • 忘記密碼頁面暴力破解和帳戶鎖定未強制執行。
  • 選項啟用HTTP方法
  • 用戶名/電子郵件枚舉
    ●  通過登錄頁面錯誤消息
    ●  通過忘記密碼錯誤消息
  • 缺少HTTP安全標頭,特別是 (https://www.owasp.org/index.php/List_of_useful_HTTP_headers),例如
      嚴格的運輸安全
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  內容 - 安全 - 策略 - 僅報告
  • SSL問題,例如
    ●  如BEAST,BREACH,Renegotiation攻擊
    ●  未啟用SSL轉發保密
    ●  SSL弱/不安全的密碼套件
  • 關於共同/公共服務的橫幅披露
  • 自我XSS和問題只能通過Self-XSS進行利用
  • 調查結果主要來自社會工程(例如網絡釣魚,掠奪,掠奪)

產品漏洞

  • dll 注入ESET安裝程序
  • 更新/下載服務器中沒有SSL
  • 點擊劫持

ESET是一個堅定的信徒,也是負責任的披露流程的實踐者,並且如果他們不希望保持匿名,他們會公開信任安全漏洞記者。

謝謝。

ESET