Har du upptäckt en säkerhetsbrist?

Berätta för oss

ESET-produkter eller -resurser

Om du tror dig ha hittat ett säkerhetsproblem i någon ESET-produkt eller webbapplikation, vänligen informera oss konfidentiellt. Varje giltig rapport kommer att belönas.

Hör av dig!

Webbplats – www.eset.com

Vårt samarbete med HackTrophy hjälper oss att ligga steget före möjliga problem. Berätta för oss om eventuella säkerhetsproblem på vår webbplats och så kan du få en belöning.

Rapportera via HackTrophy

Sårbarheter som inte omfattas

Rapporter från automatiserade verktyg eller genomsökningar
Överbelastningsattacker
Man in the middle-attacker
Attacker som kräver fysisk åtkomst till användarens enhet
Hypotetiska problem utan någon praktisk inverkan
Publikt tillgängliga inloggningssidor utan något bevis på hur en svaghet kan utnyttjas
Resultat som huvudsakligen härrör från social engineering (t.ex. phishing eller bedrägeriförsök via röstsamtal eller sms) eller andra attacker som inte är av teknisk natur
Problem av låg allvarlighetsgrad eller enbart på notifieringsnivå
Skickande av spam
Clickjacking och problem som endast kan utnyttjas via clickjacking.
Identifiering och presentation via banner för gemensamma eller publika tjänster.
Problem med e-postkonfiguration (inställningar för SPF, DKIM, och DMARC)
Beskrivande felmeddelanden (t.ex. spårningsdumpar, program- eller serverfel)
HTTP 404-koder/sidor eller andra HTTP-svarskoder/sidor som inte är 200.
Avslöjande av publikt kända filer eller kataloger eller sådana som inte innehåller känslig information (t.ex. robots.txt, crossdomain.xml eller andra policy-filer, förekomst av jokertecken eller felaktig konfiguration i dessa filer).
Aktiverad HTTP-metod som avviker från standard
Att säkerhets-headers saknas (såsom Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
Avsaknad av flaggor Secure/HTTP Only/SameSite för cookies utan känsligt innehåll.
Öppen omdirigering som inte kan användas till att filtrera fram känslig information (t.ex. sessions-cookie eller OAuth-nyckel)
Hanteringsproblem med flera samtidiga aktiva sessioner
Attacker som bygger på injektion av främmande host-header
Self-XSS och problem som endast kan utnyttjas via self-XS
CSRF i formulär som är tillgängliga för ej inloggade användare (t.ex. kontaktformulär).
CSRF vid utloggning
Förekomst av program eller funktion i webbläsaren för automatisk ifyllning av lösenord eller funktion för att spara lösenord.
Råstyrkeattack möjlig vid glömt lösenord och kontolåsning ej framtvingad.
Listning av användarnamn/e-postadresser utan någon ytterligare påverkan
Problem med begränsning av hastighet
Svag captcha/förbigående av captcha
Utnyttjande av en känd sårbarhet i något resursbibliotek utan någon specifik beskrivning av hur denna kan utnyttjas i vår implementering
SSL-problem (till exempel: svag/osäker kryptering, BEAST, BREACH, Renegotiation o.s.v.)

Sårbarhetskategorier vi uppmuntrar

Vi behandlar alla rapporter med prioritet och utreder alla ärenden direkt med rapportören så snart som möjligt. När du skickar en rapport ber vi dig göra det på engelska till security@eset.com och inkludera följande information:

Mål – en ESET-server, identifierad via ip-adress, servernamn, url och så vidare eller ESET-produkt, inklusive versionsnummer (läs vår artikel i KnowledgeBase om hur du hittar rätt versionsnummer)
Typ av problem – sårbarhetstyp (t.ex. enligt OWASP, såsom cross-site scripting, buffer overflow, SQL-injicering o.s.v.) och inkludera en allmän beskrivning av sårbarheten.
Proof-of-concept och/eller en URL som visar på sårbarheten – en demonstration av sårbarheten som visar hur den fungerar. Exempel på detta kan vara:
● en URL som innehåller ett angrepp – t.ex. XSS i GET-parametrar
● Länk till en allmän kontrollfunktion – t.ex. SSL-sårbarheter
● Video – kan i allmänhet vara användbar (om du laddar upp videoklippet till någon streaming-tjänst ber vi dig att inte märka den som publikt tillgänglig)
● Loggfil från ESET SysInspector (se hur du skapar en loggfil med ESET SysInspector)
● Ge oss så detaljerad beskrivning som möjligt eller skicka oss en valfri kombination utifrån ovanstående alternativ.