Ați descoperit o vulnerabilitate la nivel de securitate?

Informați-ne

Securitatea reprezintă un proces, nu o destinație.
De aceea, puteți face o notificare cu privire la orice vulnerabilitate de securitate ce afectează produsele ESET sau resursele, trimițând un mesaj la adresa suport@eset.ro.

Categorii de vulnerabilități


Tratăm toate raportările cu prioritate ridicată și investigăm toate problemele cât mai repede posibil.
Vă rugăm să includeți următoarele informații:

  • Ținta – serverul ESET identificat prin adresa IP, numele gazdei, prin URL sau produsul ESET, inclusiv versiunea (verificați articolul legat de bazele de cunoștință pentru a putea determina versiunea)
  • Tipul problemei – tipul vulnerabilității (ex: conform OWASP, cum ar fi scripting-ul de tip cross-site, o anormalitate legată de buffer, inserarea SQL etc.) și include o descriere generală a vulnerabilității.
  • Evidența și/sau URL care să demonstreze vulnerabilitatea – o demonstrație a vulnerabilității care să arate cum lucrează. Exemplele includ:
    ●  URL ce conține o sarcină utilă – de exemplu: XSS în paramentrii de solicitare GET
    ●  Link la o verificare generală – ex: vulnerabilitățile SSL
    ●  Video – în general, utilizabil (în cazul în care îl încărcați pe un serviciu de streaming, vă rugăm să îl marcați ca privat)
    ●  Fișier de jurnal de la ESET SysInspector (vedeți cum puteți crea un jurnal ESET SysInspector ) sau Microsoft Problem Steps Recorder (vedeți cum să utilizați Problem Steps Recorder), dacă este cazul
    ●  Vă rugăm să furnizați o descriere cât mai detaliată posibil sau să ne trimiteți o combinație între opțiunile anterioare. 

Orice recomandare cu privire la remedierea vulnerabilității este binevenită, dacă este aplicabilă.

Pentru a cripta comunicațiile către noi prin e-mail, vă rugăm folosiți cheia publică PGP:

Vulnerabilități în afara domeniului de aplicare

  • Mesaje de eroare descriptive (e.g. Stack Traces, erori de aplicație sau de server).
  • Coduri/pagini HTTP 404 sau alte coduri/pagini HTTP non-200.
  • Divulgarea amprentei/banner-ului pe servicii comune/publice.
  • Prezentarea fișierelor sau directoarelor cunoscute public (e.g. robots.txt).
  • Clickjacking și probleme ce pot fi exploatate numai prin clickjacking.
  • CSRF pe formulare ce sunt disponibile pentru utilizatorii anonimi (ex: formularul de contact).
  • Logout Cross-Site Request Forgery (logout CSRF).
  • Prezența unei funcționalități ai unei aplicații sau a unui browser web de tip‘autocomplete’ sau ‘save password’.
  • lipsa unor însemne Secure/HTTP Only sau a unor Cookie-uri non-sensitive.
  • Lipsa unui Security Speedbump la părăsirea site-ului.
  • Captcha slab/ Captcha Bypass
  • Forgot Password page brute force and account lockout nu sunt aplicate.
  • Metoda OPTIONS HTTP activată
  • Enumerare nume de utilizator / e-mail
    ●  prin intermediul mesajului de eroare Login Page
    ●  prin intermediul mesajului de eroare Forgot Password
  • Missing HTTP security headers, specifically (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), e.g.
      Strict-Transport-Security
    ●  X-Frame-Options
    ●  X-XSS-Protection
    ●  X-Content-Type-Options
    ●  Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    ●  Content-Security-Policy-Report-Only
  • SSL Issues, e.g.
    ●  SSL Attacks such as BEAST, BREACH, Renegotiation attack
    ●  SSL Forward secrecy not enabled
    ●  SSL weak / insecure cipher suites
  • Divulgarea banner-ului pe servicii comune/publice
  • Self-XSS și probleme ce pot fi exploatate doar prin intermediul Self-XSS
  • Rezultate obținute în principal din ingineria socială (de exemplu, atacuri de tip phishing, vishing, smishing)
  • Inserare dll în procesele de instalare ESET
  • Nu există SSL în serverele de încărcare/descărcare 
  • Tapjacking

ESET crede cu tărie, practicând, de asemenea, un proces responsabil de prezentare a vulnerabilităților și îi creditează în mod public pe cei care le raportează pentru eforturile lor, în cazul în care aceștia nu doresc să rămână anonimi.

VĂ MULȚUMIM.

ESET