Oppdaget et sikkerhetsproblem?

Fortell oss om det

ESETs produkter eller ressurser

Hvis du mener at du har funnet et sikkerhetsproblem i et ESET-produkt eller en av våre nettløsninger, vil vi gjerne få konfidensiell informasjon om det. Alle gyldige rapporter blir belønnet.

Ta kontakt

Nettsted – www.eset.com

Vårt samarbeid med HackTrophy gjør det enklere for oss å være i forkant av eventuelle problemer. Gi oss beskjed om eventuelle sikkerhetsproblemer på nettstedet vårt, og få belønning.

Rapporter via HackTrophy

Uoversiktlige sikkerhetsproblemer

Rapporter fra automatiserte verktøy eller skanninger
Tjenestenektangrep (DoS)
Man-in-the-middle-angrep
Angrep som krever fysisk tilgang til brukerens enhet
Hypotetiske problemer som ikke har praktiske konsekvenser
Offentlig tilgjengelige påloggingspaneler uten at det foreligger bevis på utnyttelse
Funn som i hovedsak kommer fra sosial manipulering (for eksempel phishing, vishing, smishing) og andre ikke-tekniske angrep
Informasjonens alvorlighetsgrad og utfordringer med lav alvorlighetsgrad
Spamming
Clickjacking og problemer som bare kan utnyttes via clickjacking.
Fingeravtrykk / banneravsløring på felles/offentlige tjenester.
Problemer med e-postkonfigurasjon (SPF, DKIM, DMARC-innstillinger)
Beskrivende feilmeldinger (for eksempel stakkspor, applikasjon- eller serverfeil)
HTTP 404-koder/sider eller andre HTTP ikke-200-koder/sider.
Utlevering av kjente offentlige eller ikke-sensitive filer eller mapper (for eksempel robots.txt, crossdomain.xml eller andre filer med retningslinjer, bruk av jokertegn eller feil konfigurasjon av jokertegn i disse).
Ikke-standard HTTP-metode er aktivert
Manglende sikkerhetsheadere (for eksempel Strict-Transport-Security, X-Frame-Options, X-XSS-Protection og X-Content-Type-Options)
Manglende Secure-/HTTP Only-/SameSite-flagg for ikke-sensitive informasjonskapsler.
Åpen omdirigering som ikke kan brukes til å hente ut sensitiv informasjon (sesjonsavhengige informasjonskapsler, OAuth-tokens)
Administrasjonsproblemer med flere samtidige aktive økter
Injeksjonsangrep mot Host-header
Self-XSS og problemer som bare kan utnyttes via Self-XS
CSRF i skjemaer som er tilgjengelige for anonyme brukere (f.eks. kontaktskjemaet).
CSRF ved utlogging
Forekomst av “autofullfør”- eller “lagre passord”- funksjonalitet i program eller nettleser.
Glemt passord-side brute force og låsing av konto ikke utført.
Utnyttelse av brukernavn/e-post uten ytterligere konsekvenser
Problemer med frekvensbegrensning
Svak Captcha / Captcha-omgåelse
Bruk av et kjent sårbarhetsbibliotek uten beskrivelse av et sikkerhetsproblem som er spesifikt for vår implementering
SSL-problemer (for eksempel svak/usikker chiffer, BEAST, BREACH, Renegotiation-angrep og lignende)

Sikkerhetsproblemkategorier vi er spesielt opptatt av

Vi behandler alle rapporter med høy prioritet og ser på alle problemer direkte sammen med anmelderen snarest mulig. Rapporten må skrives på engelsk og sendes til security@eset.com. Inkluder følgende informasjon:

Mål – ESETs server, identifisert med IP-adresse, vertsnavn, URL og så videre, eller ESET-produktet, inkludert versjonsnummer (se vår artikkel i KnowledgeBase for mer informasjon om versjonsnummer)
Type problem – type sårbarhet (for eksempel i samsvar med OWASP, for eksempel cross-site scripting, buffer overflow, SQL injection eller lignende), og legg ved en generell beskrivelse av sårbarheten.
Proof-of-Concept eller URL som viser sårbarheten – en demonstrasjon av sårbarheten som viser hvordan den fungerer. Eksempler inkluderer:
● URL med payload – for eksempel XSS i GET-forespørselsparametre
● Lenke til generell sjekker – for eksempel SSL-sårbarheter
● Video – generelt nyttig (hvis den lastes opp til en strømmetjeneste, må den gjøres privat)
● Loggfil fra ESET SysInspector (se slik lager du en ESET SysInspector-logg) eller Microsoft Problem Steps Recorder, hvis det er aktuelt
● Oppgi en så detaljert beskrivelse som mulig, eller send oss en kombinasjon av de aktuelle valgene.