Güvenlik bir sonuç değil süreçtir.
Bu yüzden bize yazabilirsiniz. ESET ürün ya da kaynaklarını etkileyebilecek her türlü güvenlik açığını raporlayın. security@eset.com.
Teşvik ettiğimiz güvenlik açığı kategorileri
Bütün şikâyet ve önerilere öncelik vererek, hemen araştırmasını yaparak şikâyet/öneri sahibine en kısa zamanda döneriz. Şikâyet ve önerilerinizde aşağıdaki bilgilerle beraber security@eset.com adresine İngilizce olarak yapmanızı rica ederiz:
- Hedef – IP adresi tarafından tanımlanmış ESET sunucusu, sunucu adı, ESET ürün URL ve diğer bilgileri, sürüm versiyonu (sürüm versiyonunu anlamak için Bilgi Havuzu makalesine göz atın)
- Konu türü – zafiyet çeşidi (örn: OWASP'a göre, çapraz site komut çalıştırma, arabellek aşımı, SQL saldırısı vb.) ve zafiyetin genel bir tanımını da ekleyiniz.
- Zafiyetin nasıl çalıştığının demosu – nasıl çalıştığını gösteren bir zaafiyet demosu. Eklenecek örnekler:
● URL containing payload – örn: GET istek parametresi içindeki XSS
● Genel kontrol bağlantısı – örn: SSL zafiyeti
● Video – genellikle kullanılan (İnternet üzerinden yayın hizmetine yükleme ise, lütfen özel olarak işaretleyiniz)
● Log dosyası ESET SysInspector eğer uygunsa (inceleyin ESET SysInspector log nasıl yaratılır) ya da Microsoft Problem Steps Recorder (inceleyin Problem Steps Recorder nasıl kullanılır)
● Lütfen verebildiğiniz kadar detay veya önceki seçimlerin karması olarak bizlere ulaştırınız
Sizlerden gelebilecek, uygulanabilir, her türlü zafiyet onarımı tavsiyesine açığız.
Bizimle yaptığınız e-posta yazışmalarını şifrelemek için lütfen PGB genel anahtarımızı kullanın PGP public key:
Kapsam dışı açıklar
Web Uygulamaları
- Tanımlayıcı hata mesajları (örn: yığın izleme, uygulama veya sunucu hataları).
- HTTP 404 kodları/sayfaları veya başka HTTP non-200 kodları/sayfaları.
- Genel kullanıma açık hizmetlerde parmak izi kontrolü / banner gösterimi/açıklığı.
- Genel kullanıma açık dosya ve dizinlerin gösterimi/açıklığı (örn: robots.txt).
- Farkında olmadan yapılan tıklama ile yapılan saldırılar ve yarattığı sorunlar.
- Anonim kullanıcılar tarafından kullanılabilen formlar hakkında CSRF (örn: iletişim formu).
- Oturumu Kapatma İsteği Sahteciliği (Oturumu Kapatma CSRF).
- Uygulama ya da web tarayıcısı 'otomatik tamamlama' veya 'şifreyi kaydet' özelliği.
- Kısıtlanmamış çerezlerde Sadece Güvenli/HTTP uyarısının olmaması.
- Siteden ayrılırken Security Speedbump'ın olmaması.
- Zayıf güvenlik kodu / güvenlik kodu Bypass'ı
- Şifremi unuttum sayfasının zorlaması ile hesap kilitlenmesinin zorunlu olmaması.
- OPTIONS HTTP methodunun etkinleştirilmiş olması
- Kullanıcı adı/e-postaların detaylı listelenmesi
● Oturum açma hatası mesajı ile
● Şifremi unuttum hatası mesajı ile - • Eksik HTTP güvenliği üstibilgileri, özellikle (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), örn;
● Strict-Transport-Security
● X-Frame-Options
● X-XSS-Protection
● X-Content-Type-Options
● Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
● Content-Security-Policy-Report-Only - SSL Sorunları, örn:
● BEAST, BREACH, Renegotiation gibi SSL saldırıları
● Etkin olmayan SSL iletme gizliliği
● Zayıf/güvenli olmayan SSL şifre suite'leri - Genel kullanıma açık hizmetlerde banner gösterimi
- Self-XSS ve sadece Self-XSS üzerinden sömürülebilir vakalar
- Phishing, vishing, smishing gibi yöntemlerle ulaşılabilinen bilgiler
Ürün Güvenlik açıkları
- ESET yükleyicilerinde dll enjeksiyonu
- Güncelleme/indirme server'larında SSL yok
- Tapjacking
ESET, önleyici görevinin yanında, sistem açığı raporlaması yapıp çözüm bulan kişilerin tanıtımını yapar. Öte yandan İsminin gizli kalmasını isteyen kişilerin bu taleplerine de saygı duyar.
TEŞEKKÜRLER.
ESET