Обнаружили уязвимость в системе безопасности?

Расскажите нам об этом

Уязвимости, найденные на перечисленных веб-сайтах ESET

Сотрудничество с Hacktrophy помогает нам избежать любых потенциальных угроз. Сообщать о любых уязвимостях в системе безопасности наших веб-сайтов. Одобренные отчеты по перечисленным ниже сайтам получают финансовое вознаграждение.

* Глобальный веб-сайт ESET включает поддомены go.eset.com, cookie.eset.com, search.eset.com, captcha.eset.com, и api.eset.com

Уязвимости, обнаруженные в продуктах ESET или на веб-сайтах ESET

Если вы считаете, что нашли уязвимость в каком-либо продукте ESET или веб-приложении, которая не входит в сферу действия Hacktrophy, пожалуйста, конфиденциально сообщите нам об этом по адресу security@eset.com.

Если вы считаете, что нашли уязвимость в каком-либо продукте ESET или веб-приложении, пожалуйста, конфиденциально сообщите нам об этом.

Отправить нам сообщение

Перед отправкой отчета, пожалуйста, ознакомьтесь с разделом "Политика отчетов" и "За пределами области применения". Автоматический ответ будет отправлен, когда отчет будет успешно обработан нашей системой и ожидает рассмотрения специалистом по безопасности. В течение трех рабочих дней специалист по безопасности отправит сообщение журналисту по адресу security@eset.com. Наша цель - предоставить исправления для подтвержденных уязвимостей в течение 90 календарных дней с момента раскрытия информации. Сообщения о подтвержденных и исправленных уязвимостях вознаграждаются.

При оценке уязвимости используйте последнюю версию CVSS -
мы определим приоритетность нашего ответа на основе этой оценки CVSS или строки вектора.

В качестве CNA для соответствующих уязвимостей в наших продуктах ESET автоматически зарезервирует идентификатор CVE.

Обратите внимание, что мы не будем инициировать расследование правоохранительных органов или какой-либо судебный процесс против вас в связи с содержанием отчета.

Чувствительная и личная информация

Никогда не пытайтесь получить доступ к конфиденциальным или личным данным. Если вы получили конфиденциальную или личную информацию во время исследования безопасности, выполните следующие действия:

- НЕМЕДЛЕННО прекратите свои исследования или действия, связанные с конфиденциальной или личной информацией

- НЕ сохраняйте, не копируйте, не раскрывайте, не передавайте и не совершайте никаких действий, связанных с конфиденциальной или личной информацией

- НЕМЕДЛЕННО предупредите нас и поддержите нас в усилиях по устранению уязвимостей

Уязвимости за пределами области применения

Отчеты от автоматизированных инструментов или сканирования
Атаки на отказ в обслуживании
Атаки типа "человек посередине"
Атаки, требующие физического доступа к устройству
Гипотетические проблемы, не имеющие практического воздействия
Общедоступные панели входа в систему без доказательств эксплуатации
Находки, полученные в основном с помощью социальной инженерии (например, фишинг, вишинг, смс -фишинг) и других нетехнических атак
Проблемы информативного или низкого уровня серьезности
Рассылка спама
Кликджекинг и проблемы, которые вызывает только кликджекинг
Раскрытие отпечатков пальцев/информации рекламного баннера для обычных/общественных услуг
Проблемы конфигурации почты (настройки SPF, DKIM, DMARC)
Описательные сообщения об ошибках (например, трассировка стека, ошибки приложения или сервера)
HTTP 404 коды/страницы или другие HTTP не-200 коды/страницы
Раскрытие известных общедоступных или нечувствительных файлов или каталогов (например, robots.txt, crossdomain.xml и любые другие файлы политики, наличие или неправильная настройка в них подстановочных знаков)
Включен нестандартный метод HTTP
Отсутствие заголовков безопасности, таких как Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options
Отсутствие флагов Secure, HTTP Only и SameSite на нечувствительных файлах cookie
Открытый редирект, который не может быть использован для утечки конфиденциальной информации, такой как куки сессии, токены OAuth
Проблемы управления несколькими одновременными активными сессиями
Атаки инъекции в заголовок хоста
Self-XSS и проблемы, эксплуатируемые только через Self-XS
CSRF в формах, доступных анонимным пользователям (например, контактная форма)
CSRF при выходе из системы
Наличие функции "автозаполнения" или "сохранения пароля" в приложении или веб-браузере
Отсутствие защиты от атак грубой силы на странице "Забыли пароль" и политики блокировки учетных записей
Имя пользователя или список адресов электронной почты без дополнительных эффектов
Проблемы ограничения частоты
Слабая задача CAPTCHA/обход задачи CAPTCHA
Использование известной уязвимой библиотеки без описания эксплойта, специфичного для нашей реализации
Проблемы SSL (например, слабый/небезопасный набор шифров, BEAST, BREACH, атаки с перезаключением)

Политика отчетности

Свяжитесь с нами по адресу security@eset.com
Отчеты и все сопутствующие материалы шифруются с помощью открытого ключа PGP
Укажите свою организацию и контактное имя
Напишите четкое описание потенциальной уязвимости
Включить всю необходимую информацию для подтверждения потенциальной уязвимости
Укажите версию продукта и модуля (см. KB о поиске версий продуктов и модулей ) для отчетов, связанных с продуктом
Отчеты, связанные с продуктом, должны включать файл журнала ESET SysInspector, если таковой имеется
Доказательство концепции – пожалуйста, предоставьте как можно более подробное описание, включая скриншоты и видео (которые при загрузке на потоковые сервисы помечаются как приватные)
Рекомендации по смягчению последствий будут высоко оценены
Укажите, какое влияние, по вашему мнению, потенциальная уязвимость оказывает на пользователей, сотрудников ESET или других лиц
Мы просим автора сообщения сохранять конфиденциальность любых сообщений об уязвимости
Информировать о любых планах по раскрытию информации и координировать их с нами
Сообщение должно быть написано на английском языке

Обратите внимание, что отчет может быть отклонен, если:

Он соответствует критериям из раздела "За рамками"
Не соответствует нашей политике в отношении отчетов
Oн дублируется, рассматривается только оригинальный отчет от первого репортера

Докладчик будет уведомлен о любом обновлении в процессе исправления и/или смягчения последствий.

Компания ESET является сторонником скоординированного процесса раскрытия информации об уязвимостях и публично отмечает авторов сообщений об уязвимостях безопасности за их усилия, если они не хотят быть анонимными.

Расскажите нам об этом

* Глобальный веб-сайт ESET включает поддомены go.eset.com, cookie.eset.com, search.eset.com, captcha.eset.com, и api.eset.com

При оценке уязвимости используйте последнюю версию CVSS -мы определим приоритетность нашего ответа на основе этой оценки CVSS или строки вектора.

В качестве CNA для соответствующих уязвимостей в наших продуктах ESET автоматически зарезервирует идентификатор CVE.

Обратите внимание, что мы не будем инициировать расследование правоохранительных органов или какой-либо судебный процесс против вас в связи с содержанием отчета.

Веб-приложения

Уязвимости продукта

СПАСИБО.

Для Windows, macOS и Android

НАСЛАЖДАЙТЕСЬ ТЕМ, ЧТО ИМЕЕТ ЗНАЧЕНИЕ, А ОСТАЛЬНОЕ ПРЕДОСТАВЬТЕ ESET

Найдите наиболее подходящую вам защиту

Рекомендуемые решения

Рекомендуемые услуги

Рекомендуемые решения

Рекомендуемые услуги

Рекомендуемые услуги

Скачать для дома ималого предприятия

Скачатьдля бизнеса

Для дома

Для бизнеса

ESET Партнёры

ESET Поддержка

О компании ESET

При оценке уязвимости используйте последнюю версию CVSS -
мы определим приоритетность нашего ответа на основе этой оценки CVSS или строки вектора.

НАСЛАЖДАЙТЕСЬ ТЕМ, ЧТО ИМЕЕТ ЗНАЧЕНИЕ,
А ОСТАЛЬНОЕ ПРЕДОСТАВЬТЕ ESET

Скачать для дома и
малого предприятия

Скачать
для бизнеса