Atklājāt drošības ievainojamību?

Pastāstiet mums par to

Norādītajās ESET vietnēs atrastās ievainojamības

Mūsu sadarbība ar Hacktrophy palīdz mums izvairīties no jebkādiem potenciālajiem draudiem. Informējiet par jebkādām drošības nepilnībām mūsu vietnēs. Apstiprinātie ziņojumi par zemāk norādītajām vietnēm tiek finansiāli apbalvoti.

ESET Global vietnes*

www.eset.com
buy.eset.com

ESET PROTECT Cloud

protect.eset.com

ESET Home

home.eset.com
login.eset.com
parentalcontrol.eset.com
anti-theft.eset.com
passwordmanager.eset.com

ESET Business Account

eba.eset.com
identity.eset.com

ESET Cloud Office Security

ecos.eset.com

 

Ziņojiet, izmantojot HackTrophy
* ESET Global vietne ietver apakšdomēnus go.eset.com, cookie.eset.com, search.eset.com, captcha.eset.com, un api.eset.com

ESET produktos vai ESET vietnēs atrastās ievainojamības

If you believe you have found a vulnerability in any ESET product or web application that is not defined in Hacktrophy's scope, please inform us confidentially via security@eset.com.

Ja uzskatāt, ka kādā ESET produktā vai tīmekļa lietojumprogrammā esat atradis ievainojamību, lūdzu, par to konfidenciāli informējiet mūs.

Uzrakstiet mums
Pirms ziņojuma iesniegšanas, lūdzu, izlasiet sadaļu Ziņojuma politika un sadaļu Ārpus redzesloka. Automātiska atbilde tiek nosūtīta, kad mūsu sistēma ir veiksmīgi apstrādājusi ziņojumu un gaida drošības speciālista pārbaudi. Trīs darbdienu laikā drošības speciālists ziņotājam nosūtīs atsauksmes, izmantojot e-pasta adresi security@eset.com. Mūsu mērķis ir nodrošināt apstiprināto ievainojamību labošanu 90 kalendāro dienu laikā pēc atklāšanas. Ziņojumi par apstiprinātām un labotām ievainojamībām tiek apbalvoti ar labumu somu.
Novērtējot ievainojamību, izmantojiet jaunāko CVSS versiju -
mūsu atbilžu prioritāšu noteikšana notiek pamatojoties uz šo CVSS rezultātu vai vektora virkni.
Kā CNA mūsu produktu piemērojamajām ievainojamībām ESET automātiski rezervēs CVE ID.

Lūdzu, ņemiet vērā, ka mēs neuzsāksim tiesvedību vai citas juridiskās darbības pret jums saistībā ar ziņojuma saturu.

Sensitīva un privāta informācija

Nekad necentieties piekļūt sensitīviem vai privātiem datiem. Ja jūs iegūstat sensitīvu vai privātu informāciju savas izpētes laikā, sekojiet šiem soļiem:

- PĀRTRAUCIET nekavējoties jūsu izpēti vai darbības, kas sevī ietver sensitīvu vai privātu informāciju

- AIZLIEGTS saglabāt, kopēt, atklāt,izplatīt vai veikt jebkādu citu darbību ar iegūto sensitīvo vai privāto informāciju

- BRĪDINIET mūs nekavējoties un atbalstiet mūs seku mazināšanas centienos

Ievainojamības, ka neiekļaujas apskatītajā ievainojamību kopā

Tīmekļa lietotnes

  • Ziņojumi no automatizētiem rīkiem vai skenēšanas
  • Pakalpojumatteices uzbrukums
  • Pārtvērējuzbrukums
  • Uzbrukumi, kuriem nepieciešama fiziska piekļuve ierīcei
  • Hipotētiskas problēmas, kurām nav nekādas reālas ietekmes
  • Publiski pieejami pieteikšanās paneļi bez ļaunprātīgas izmantošanas pierādījuma
  • Secinājumi, kas iegūti galvenokārt no sociālās inženierijas (piemēram, pikšķerēšanas, vīzēšanas, sms- pikšķerēšanas) un citiem netehniskiem uzbrukumiem
  • Problēmas ar informatīvu vai zemu ietekmes pakāpi
  • Mēstuļošana
  • Klikšķu laupīšana un problēmas, kas rodas tikai klikšķu uzlaušanas rezultātā
  • Pirkstu nospiedumu/ reklāmjoslas informācijas izpaušana par ikdienas/ publiski pieejamajem pakalpojumiem
  • Pasta konfigurācijas problēmas (SPF, DKIM, DMARC iestatījumi)
  • Aprakstoši kļūdu ziņojumi (piemēram, steka pēdas, lietojumprogrammas vai servera kļūdas)
  • HTTP 404 kodi/lapas vai citi HTTP ne-200 kodi/lapas
  • Zināmu publisko vai nesensitīvo failu vai direktoriju atklāšana (piemēram, robots.txt, crossdomain.xml un jebkuri citi politikas faili, aizstājējzīmju klātbūtne vai nepareiza konfigurācija tajos)
  • Nestandarta HTTP metode ir iespējota
  • Trūkst drošības galvenes, piemēram, Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options
  • Trūkst droša savienojuma, tikai HTTP, un SameSite karodziņi nesensetīvos sīkfailos
  • Atvērta novirzīšana, ko nevar izmantot, lai izgūtu sensitīvu informāciju, piemēram, sesijas sīkfailus, OAuth pilnvaras
  • Pārvaldības problēmas ar vairākām vienlaicīgām aktīvām sesijām
  • Resursdatora-galvenes injekcijas uzbrukumi
  • Self-XSS un problēmas, kuras var izmantot tikai, izmantojot Self-XS
  • CSRF veidlapās, kas pieejamas anonīmiem lietotājiem (piem., saziņas veidlapa
  • CSRF pie izlogošanās
  • Lietojumprogrammas vai tīmekļa pārlūkprogrammas funkcija “automātiska aizpildīšana” vai “paroles saglabāšana”
  • Aizmirstās paroles lapas brutālā spēka uzbrukuma aizsardzība un konta bloķēšanas politikas netiek īstenotas
  • Lietotājvārds vai e-pastu uzskaitījums bez papildu ietekmes
  • Biežuma ierobežošanas problēmas
  • Vājš CAPTCHA uzdevums/CAPTCHA uzdevuma apiešana
  • Zināmas ievainojamas bibliotēkas izmantošana bez konkrēta ekspluatācijas apraksta
  • SSL problēmas (piemēram, vājš/nedrošs šifrēšanas komplekts, BEAST, BREACH, atkārtotu savienojumu izveides uzbrukumi)

Produkta ievainojamības

  • Problēmas, kuras var atrisināt, pievienojot noteikšanas parakstu
  • DLL inficēšana
  • DLL nolaupīšana
  • Bez SSL atjaunināšanas/lejupielādes serveri
  • Uzstādītā aizsardzības risinājuma apiešana
  • Tapjacking - Maldīga interfeisa uzbrukums
  • Zināmas trešo pušu komponentu ievainojamības
  • Uzbrukumi, kas ir iespējami tikai ar administratora privilēģijām, tiks izvērtēti katrā gadījumā atsevišķi

Ziņojumu politika

  • Sazinieties ar mums pa e-pastu security@eset.com
  • Ziņojumi un visi saistītie materiāli tiek šifrēti ar PGP publisko atslēgu
  • Iekļaujiet savu organizāciju un kontaktpersonas vārdu
  • Uzrakstiet skaidru iespējamās ievainojamības aprakstu
  • Pievienojiet visu nepieciešamo informāciju, lai apstiprinātu iespējamo ievainojamību
  • Iekļaujiet ESET produkta un moduļa versiju (skatiet KB ierakstus par produktu un moduļu versiju atrašanu ) ziņojumos, kas saistīti ar produktiem
  • Ar produktu saistītajos ziņojumos ir jāietver žurnāla fails no ESET SysInspector, ja tāds ir
  • Koncepcijas pierādījums – lūdzu, sniedziet pēc iespējas detalizētāku aprakstu, tostarp ekrānuzņēmumus un video (kas tiek atzīmēti kā privāti, augšupielādējot straumēšanas pakalpojumos)
  • Seku mazināšanas ieteikumi tiks ļoti novērtēti
  • Iekļaujiet iespējamo ievainojamības ietekmi uz lietotājiem, ESET darbiniekiem vai citiem
  • Lūdzam ziņotājam paturēt konfidenciālu jebkādu saziņu par ievainojamību
  • Informējiet par jebkādiem informācijas atklāšanas plāniem un saskaņojiet tos ar mums
  • Jāraksta angļu valodā

Lūdzu, ņemiet vērā, ka ziņojumu var noraidīt, ja:

  • Tas atbilst kritērijiem no sadaļas “Ievainojamības, ka neiekļaujas apskatītajā ievainojamību kopā (Out-of-scope)”
  • Tas neatbilst mūsu ziņošanas politikai
  • Tas tiek dublēts, tiek ņemts vērā tikai pirmā ziņotāja oriģinālais ziņojums

Ziņotājs tiks informēts par visiem atjauninājumiem, kas tiek veikti labošanas un/vai apdraudējuma mazināšanas procesā.

ESET stingri tic saskaņotam ievainojamības atklāšanas procesam un publiski izsaka atzinību par drošības ievainojamības ziņotājiem, ja viņi nevēlas palikt anonīmi.

PALDIES.

Atstājiet pieprasījumu