Обеспечение безопасности — это непрерывный процесс, а не застывший результат.
Поэтому вы можете сообщить о любых уязвимостях безопасности, которые касаются продуктов или ресурсов ESET: напишите нам на security@eset.com.
Типы уязвимостей, о которых мы просим сообщать
Нам важно каждое сообщение, и мы как можно быстрее рассматриваем каждую проблему, работая напрямую с автором сообщения. Просим отправлять сообщения на английском языке на адрес security@eset.com . Не забудьте указать следующее:
- Объект уязвимости — сервер ESET, идентифицируемый по IP-адресу, имени хоста, URL-адресу и т. д., или продукт ESET с указанием номера версии (об определении номера версии см. статью в нашей базе знаний KnowledgeBase)
- Разновидность проблемы — тип уязвимости (например, тип согласно OWASP, межсайтовый скриптинг, переполнение буфера, внедрение SQL-кода и др.), а также общее описание уязвимости.
- Порядок действий и (или) URL-адрес, позволяющий воспроизвести уязвимость — демонстрация механизма данной уязвимости. Примеры:
● URL, содержащий полезную информацию — например, XSS в параметрах запроса GET
● Ссылка на механизм общей проверки — например, уязвимости SSL
● Видео — должно быть общедоступным (при загрузке в потоковый сервис сделайте видео приватным)
● Файл журнала, созданный утилитой ESET SysInspector ESET (см. как создать журнал ESET SysInspector) или утилитой Microsoft Problem Steps Recorder (см. как пользоваться утилитой Microsoft Problem Steps Recorder), если применимо
● Опишите проблему как можно подробнее или отправьте нам любые данные из указанных выше.
Если вы можете предоставить рекомендации о том, как устранить данную уязвимость, мы будем за них благодарны.
Чтобы зашифровать направляемые нам сообщения электронной почты, используйте нашоткрытый PGP-ключ:
Уязвимости, выходящие за установленные рамки
Веб-приложения
- Описательные сообщения об ошибках (например, трассировки стека, ошибки приложения или сервера).
- Коды/страницы HTTP 404 или иные коды/страницы HTTP, отличные от 200.
- Сбор отпечатков браузера или раскрытие баннера на общедоступных/общественных сервисах.
- Раскрытие известных общедоступных файлов или директорий (например, robots.txt).
- Кликджекинг и проблемы, которые можно эксплуатировать только посредством кликджекинга.
- CSRF-атака на формы, доступные анонимным пользователям (например, форма обратной связи).
- CSRF при выходе из системы.
- Наличие функций автозаполнения или сохранения пароля в приложениях или в браузере.
- Отсутствие флагов Secure/HTTPOnly на неконфиденциальных cookie-файлах.
- Отсутствие искусственных механизмов замедления при покидании сайта.
- Слабая капча/возможность обхода капчи
- Неприменение блокировки учетной записи при атаке на страницу восстановления пароля с помощью метода «грубой силы».
- Разрешён HTTP-метод OPTIONS
- Возможность подбора имени пользователя/адреса электронной почты
● посредством сообщения об ошибке на странице входа в систему
● посредством сообщения об ошибке на странице восстановления пароля - Отсутствие заголовков безопасности HTTP (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), например:
● Strict-Transport-Security
● X-Frame-Options
● X-XSS-Protection
● X-Content-Type-Options
● Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
● Content-Security-Policy-Report-Only - Проблемы SSL, например:
● SSL-атаки, такие как BEAST, BREACH, Renegotiation Attack
● Не включена прямая секретность SSL
● Слабые или небезопасные наборы шифров SSL - Раскрытие баннера на общедоступных/общественных сервисах
- Self-XSS и уязвимости, которые можно эксплуатировать только при помощи Self-XSS
- Получение сведений в основном методами социальной инженерии (например, фишинг, вишинг, смишинг)
Уязвимости продуктов
- внедрение dll в установщики ESET
- Отсутствие SSL в серверах обновления/загрузки
- Тапджекинг
ESET всецело поддерживает и практикует принцип ответственного раскрытия, а также публично выражает признательность тем, кто сообщает об уязвимостях, если такие лица не пожелают остаться анонимными.
СПАСИБО.
ESET