Kas avastasid turvaauke?

Kirjuta meile sellest

ESETi loetletud veebisaitidelt leiti haavatavusi

Meie partnerlus HackTrophyga aitab meil kõigist võimalikest ohtudest eespool olla. Anna meile teada kõikidest meie veebisaitide turvaküsimustest ja saa tasu info eest.

ESETi toodetest või muudelt veebisaitidelt leitud haavatavused

Kui usud, et oled mõnes ESETi tootes või veebirakenduses leidnud haavatavuse, teavita meid sellest konfidentsiaalselt.

Kirjuta meile

Enne aruande esitamist loe palun aruandepoliitikat ja reguleerimisalast infot.

Pane tähele, et me ei alusta Sinu vastu õiguskaitseasutuste uurimist ega kohtuasja aruande sisu pärast.

Tundlik ja isiklik teave

Ära kunagi proovi pääseda juurde isikuandmetele või tundlikele andmetele. Kui said turvauuringute käigus tundlikku või isiklikku teavet, toimi järgmiselt.

- PEATA viivitamatult oma andmeid või isikuandmeid sisaldavad uuringud või toimingud

- EI TOHI salvestada, kopeerida, avalikustada, edastada ega tee mingeid tegevusi, mis on seotud andmete või isikuandmetega

- HOIATA meid kohe, seeläbi aitad ära hoida andmelekke

Mõjualast väljaspool olevad haavatavused

Kirjeldavad veateated (nt virnajäljed, rakenduse või serveri vead).
HTTP 404 koodid / lehed või muud HTTP mitte 200 koodid / lehed.
Sõrmejälgede / ribareklaamide avalikustamine ühiste / avalike teenuste puhul.
Tuntud avalike failide või kataloogide (nt robots.txt) avalikustamine.
Clickjacking ja probleemid, mida saab kasutada ainult clickjackinguga.
CSRF anonüümsetele kasutajatele kättesaadavatel vormidel (nt kontaktivorm).
Väljalogimine saidiüleste taotluste võltsimine (väljalogimise CSRF).
Rakenduse või veebibrauseri funktsioon „automaatne täitmine” või „parooli salvestamine”.
Ainult mittetundlikel küpsistel puudub turvaliste / HTTP-lippude puudumine.
Saidilt lahkumisel puudub turvakiirus.
Nõrk Captcha / Captcha-st möödaminek
"Unustasin parooli" lehte toorest jõudu ja konto lukustust ei rakendata.
VALIKUD HTTP-meetod on lubatud
Kasutajanimi / e-posti loend
● sisselogimislehe tõrketeate kaudu
● veateate "Unustasid parooli" kaudu
Täpsemalt puuduvad HTTP-turvapäised (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), nt.
● Strict-Transport-Security
● X-Frame-valikud
● X-XSS-kaitse
● X-Content-Type-valikud
● Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
● Content-Security-Policy-Report-Only
SSL-i probleemid, nt
● SSL-i rünnakud, nagu BEAST, BREACH, Uute läbirääkimiste rünnak
● SSL-i edastamise saladus pole lubatud
● SSL-i nõrgad / ebaturvalised šifripaketid
Bännerite avalikustamine ühiste / avalike teenuste kohta
Self-XSS ja probleemid, mida saab kasutada ainult Self-XSS-i kaudu
Peamiselt sotsiaalmanipulatsioonist saadud leiud (nt andmepüük, vishing, smishing)

dll-i süstimine ESET-i installiprogrammides
SSL pole värskendus- / allalaadimisserverites
Tapjacking

Aruandepoliitika

Võta meiega ühendust aadressil security@eset.com
Aruanded ja kogu sellega seotud materjalid krüpteeritakse by PGP avaliku võtmega
Lisa oma organisatsioon ja kontaktisiku nimi
Kirjuta võimaliku haavatavuse selge kirjeldus
Lisa kogu potentsiaalse haavatavuse kinnitamiseks vajalik teave
Lisa tootega seotud aruannetesse ESET-i toote ja mooduli versioon (versiooni numbri määramiseks vt KB toote ja KB mooduli tuvastamise õpetust).
Tootega seotud aruanded peaksid vajaduse korral sisaldama ESET SysInspector logifaili.
Kontseptsiooni tõestus – esita võimalikult üksikasjalik kirjeldus, sealhulgas ekraanipildid või video (märgitakse vooguteenustesse üles laadides privaatseks)
Haavatavuste leevendamise ettepanekud on kõrgelt hinnatud
Lisa arvatav potentsiaalse haavatavuse mõju kasutajatele, ESETi töötajatele või teistele.
Avalikustamisplaan, kui neid on
Peab olema kirjutatud inglise keeles

Pane tähele, et aruanded, mis vastavad jaotise „Reguleerimisalast välja” kriteeriumidele või mis ei järgi meie aruandluseeskirju, võidakse tagasi lükata.