Har du opdaget en sårbarhed i sikkerheden?

Fortæl os om det

ESET-produkter eller -ressourcer

Giv os venligst besked i fortrolighed, hvis du mener, du har fundet en sårbarhed i et ESET-produkt eller en webapplikation. Enhver gyldig rapport vil blive belønnet.

Kom i kontakt

Websted – www.eset.com

Vores partnerskab med HackTrophy hjælper os med at være på forkant med potentielle problemer. Fortæl os om et sikkerhedsproblem på vores hjemmeside, og søg efter din belønning.

Rapport via HackTrophy

Sårbarheder af typen uden for anvendelsesområde

Rapporter fra automatiserede værktøjer eller scanninger
Denial of Service-angreb
Man in the middle-angreb
Angreb, der kræver fysisk adgang til brugerens enhed
Hypotetiske problemer, der ikke har nogen praktisk betydning
Offentligt tilgængelige loginpaneler uden bevis for udnyttelse
Resultater, der primært stammer fra social engineering (f.eks. phishing, vishing, smishing) og andre ikke-tekniske angreb
Problemer med informativ alvorlighed og lav alvorlighed
Spamming
Clickjacking og sårbarheder, der kun kan udnyttes via clickjacking.
Offentliggørelse af fingeraftryk/banner på fælles/offentlige tjenester.
Problemer med mailkonfiguration (SPF, DKIM, DMARC-indstillinger)
Beskrivende fejlmeddelelser (f.eks. stakspor, program- eller serverfejl)
HTTP 404-koder/-sider eller andre ikke-HTTP 200-koder/-sider.
Afsløring af kendte offentlige eller ikke-følsomme filer eller mapper (f.eks. robots.txt, crossdomain.xml eller andre politikfiler, wildcard-tilstedeværelse/fejlkonfiguration i disse).
Aktiveret HTTP-metode, ikke-standard
Manglende sikkerhedsheader (f.eks. Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
Manglende sikker-/kun HTTP-/sammeWebsted-flag på ikke-følsomme Cookies.
Åben omdirigering, der ikke kan bruges til at exfiltrere følsomme oplysninger (sessioncookies, OAuth-tokens)
Administrationsproblemer med flere samtidige aktive sessioner
Angreb med injektion af værtsheader
Self-XSS og sårbarheder, der kun kan udnyttes via Self-XS
CSRF på formularer, der er tilgængelige for anonyme brugere (f.eks. kontaktformularen).
CSRF ved logout
Tilstedeværelse af program- eller webbrowserfunktionaliteten "autofuldførelse" eller "gem adgangskode".
Brute Force på Glemt adgangskode-side og kontolockout håndhæves ikke.
Optælling af brugernavn/e-mail uden nogen yderligere indvirkning
Hastighedsbegrænsende problemer
Svag Captcha/Captcha-bypass
Brug af et bibliotek, der er kendt som sårbart, uden en beskrivelse af en exploit, der er specifik for vores implementering
SSL-problemer (eksempel: svag/usikker cipher, BEAST, BREACH, genforhandlingsangreb osv.)

dll-injektion i ESET-installationsprogrammer
Ingen SSL i opdaterings-/downloadservere
Tapjacking

Sårbarhedskategorier, som vi tilskynder

Vi behandler alle rapporter med høj prioritet og undersøger alle problemer direkte med den rapporterende så hurtigt som muligt. Når du laver en rapport, beder vi dig gøre det på engelsk via security@eset.com og medtage følgende oplysninger:

Mål – ESET-serveren, der identificeres af IP-adresse, værtsnavn, URL og så videre, eller ESET-produktet, herunder versionsnummer (se vores videnbaseartikel for at bestemme versionsnummeret)
Problemtype – typen af sårbarhed (f.eks. ifølge OWASP såsom scripts på tværs af websteder, bufferoverløb, SQL-injektion osv.) og inklusive en generel beskrivelse af sårbarheden.
Blåstempling og/eller URL, der viser sårbarheden – en påvisning af sårbarheden, der viser, hvordan den virker. Eksempler omfatter:
● URL-adresse, der indeholder data – f.eks. XSS i GET-anmodningsparametre
● Link til generel kontrol – f.eks. SSL-sårbarheder
● Video – generelt brugbar (hvis du uploader til en streamingtjeneste, skal du markere den som privat)
● Logfil fra ESET SysInspector (se, hvordan du opretter ESET SysInspector-log) eller Microsoft Optager til problemtrin, hvis det er relevant
● Giv så detaljeret en beskrivelse som muligt, eller send os en kombination af de forrige muligheder.