Ste odkrili varnostno ranljivost?

Povejte nam

Varnost je proces, ne cilj. 
Zato lahko prijavite vse varnostne ranljivosti, ki vplivajo na ESET-ove izdelke ali vire, in nam pišite na naslov security@eset.com.

Kategorije ranljivosti, ki jih spodbujamo


Vsa poročila obravnavamo z visoko prioriteto in čim hitreje preučimo vsa vprašanja neposredno s poročevalcem. Prosimo vas, da ob pripravi poročila to storite v angleščini preko elektronske pošte security@eset.com in vključujejo naslednje informacije:

  • Cilj – Strežnik ESET, ki ga določa naslov IP, ime gostitelja, URL in tako naprej ali izdelek ESET, vključno s številko različice (glej naš članek KnowledgeBase article da določite številko različice)
  • Vrsta ranljivosti – vrsto ranljivosti (npr. v skladu z OWASP, kot so navzkrižno skriptiranje, prelivanje medpomnilnika, injekcija SQL itd.) in vključuje splošen opis ranljivosti.
  • Proof-of-concept in / ali URL, ki prikazuje ranljivost – prikaz ranljivosti, ki kaže, kako deluje. Primeri vključujejo:
    ●  URL, ki vsebuje – npr. XSS v parametrih zahteve GET
    ●  Povezava s splošnim pregledovalnikom – npr. SSL ranljivost
    ●  Video – splošno uporabna (če jo prenesete v storitev pretakanja, jo označite kot zasebno)
    ●  Dnevnik iz programa ESET SysInspector (poglej  kako ustvariti dnevnik ESET SysInspector) ali snemalnik Microsoftovih korakov za težavo (glejte, kako uporabljati snemalnik težavnih korakov), če je primerno
    ●  Prosimo, da kot podroben opis navedete, ali nam pošljete kombinacijo katerekoli prejšnje izbire. 

Toplo pozdravljamo vsa priporočila o tem, kako odpraviti ranljivost, če je primerno.

Če želite, da nas e-poštna sporočila šifrirate, uporabite naše PGP public key:

Manjkajoče ranljivosti

Spletne aplikacije

  • Opisna sporočila o napakah (npr. Stack Traces, napake aplikacije ali strežnika).
  • Kode / strani HTTP 404 ali druge kode / strani HTTP non-200.
  • Razkritje prstnih odtisov / pasic na skupnih / javnih storitvah.
  • Razkritje znanih javnih datotek ali imenikov (npr. Robots.txt).
  • Clickjacking in vprašanja, ki jih je mogoče izkoristiti le s klikom.
  • CSRF na obrazcih, ki so na voljo anonimnim uporabnikom (npr. Obrazec za stik).
  • Odjava Ponarejanje zahtev za več strani (odjava CSRF).
  • Prisotnost aplikacije ali spletnega brskalnika »samodokončanje« ali »shranjevanje gesla«.
  • Pomanjkanje varnih / HTTP samo zastavic na neobčutljivih piškotkih.
  • Pomanjkanje varnosti Speedbump ob zapustitvi spletnega mesta.
  • Pomanjkanje Captcha / Captcha Bypass
  • Pozabljeno stran z geslom brutalna sila in blokada računa ni uveljavljena.
  • Omogočena je metoda OPTIONS HTTP
  • Navedba uporabniškega imena / e-pošte
    ●  preko sporočila o napaki za prijavo
    ●  preko sporočila o napaki Pozabljeno geslo
  • Posebej manjkajo zaščitni naslovi HTTP (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), npr.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Vprašanja, npr.
    ●  SSL Attacks such as BEAST, BREACH, Renegotiation attack
    ●  SSL Forward secrecy not enabled
    ●  SSL šibke / negotove zbirke pisav
  • Razkritje pasic o skupnih / javnih storitvah
  • Self-XSS in izdaje, ki jih je mogoče izkoristiti samo prek Self-XSS
  • Ugotovitve, ki izhajajo predvsem iz socialnega inženiringa (npr. Phishing, vishing, smishing)

Ranljivosti izdelkov

  • dll injekcija v ESET namestitvah
  • V strežnikih za posodobitev / prenos ni SSL 
  • Tapjacking

ESET verjame v proces odgovornega razkritja in tudi v prakso in javno dodeljuje novinarjem varnostne ranljivosti za njihova prizadevanja, če ne želijo ostati anonimna.

HVALA 

ESET