一位研究人员负责地向Slack披露了多个漏洞,攻击者可以利用这些漏洞劫持用户的计算机,而这些漏洞仅获得了可怜的1,750美元。
使用这些漏洞,攻击者可以简单地上传文件并与另一个Slack用户或频道共享,以触发受害者的Slack应用程序上的漏洞利用。
在2020年1月与Slack私下共享的详细文章中,Evolution Gaming的安全工程师Oskars Vegeris共享了有关该漏洞的大量详细信息。
“通过任何应用程序内重定向-逻辑/开放式重定向,HTML或javascript注入,都可以在Slack桌面应用程序中执行任意代码。此报告演示了一种特制的利用,包括HTML注入,安全控制旁路和RCE Javascript有效负载。经过测试,此漏洞可在最新的Slack for Desktop(4.2,4.3.2)版本(Mac / Windows / Linux)上运行。”
5秒钟的视频演示Vegeris附带HackerOne文章,展示了他如何使用JSON文件触发通过Slack桌面应用程序启动本机计算器应用程序。
多个严重漏洞
该公司本周公开的HackerOne报告显示,工程师列出了可利用Slack应用程序的多种方式。
漏洞利用的最终结果是在客户端(即用户的计算机)上执行任意代码,而不是在Slack的后端执行代码。
由于files.slack.com代码固有的弱点,攻击者可以实现HTML注入,任意代码执行以及跨站点脚本(XSS)。
Vegeris发布的仅一种HTML / JavaScript概念验证(PoC)漏洞显示了通过将有效负载上传到Slack来启动本机计算器应用程序或他们想要的任何其他东西是多么容易。
当将HTML文件的URL插入Slack JSON表示形式的区域标签中时,将在用户的计算机上启用”一键式RCE”。
工程师说:“ area标签内的URL链接将包含针对Slack Desktop应用程序的HTML / JS漏洞利用程序,该漏洞利用程序可以执行攻击者提供的任何命令。”
Vegeris在另一条评论中表示,“以前报告的键盘记录也可能适用”,指的是Matt Mattlolois提交的2019年错误报告。
那是赏金吗?
Vegeris在投入大量时间进行负责任的披露后,仅获得了1,750美元的漏洞赏金,这与Infosec并不相符。
Twitter上的普遍共识是,由200万美元的大型公司使用的Slack建筑消息传递应用程序,如果在非法的暗网市场上出售此类漏洞,将面临严重的后果(这将为工程师带来不菲的收益)1,750美元)。
Mashable报告了进一步抨击Slack的用户实例,例如:OWASP ASVS标准的骇客兼合著者Daniel Cuthbert在Twitter帖子中说:“松弛,成千上万的人用于关键任务设计聊天,DevOps,安全性,合并和收购,列表无穷无尽。该研究人员发现的缺陷导致在用户计算机上执行任意命令。TL; DR很棒。”卡斯伯特(Cuthbert)恳求Slack为此类报告“适当支付”,因为此类漏洞将在黑市上出售更多。
“在所有这些努力中,他们获得了1750美元的奖励。一百七十美元。@ SlackHQ首先,缺陷是一个相当大的问题,我的意思是验证很困难,但是来了,然后请适当付款。在exploit.in上。”
Slack在两个月前发布的宣传博客文章中赞扬了其“应用程序沙箱”功能,而不是透露导致其开发的漏洞详细信息,该公司还忘记了归功于Vegeris(现已更正)。那时Vegeris要求在本周公开披露有关HackerOne的信息,并邀请Slack致以诚挚的歉意。
“我叫Larkin Ryder,我目前在Slack担任临时首席安全官。@ brandenjordan使我意识到了这一失误,我谨此致以诚挚的歉意,以感谢您对工作的任何监督。我们非常感谢您为使Slack更安全而投入的时间和精力,” Ryder在报告中说。
“虽然安全团队没有撰写此博客文章,并且作者对您在H1的工作没有了解,但我们应该采取额外的步骤,以确保所有对在此领域内的改进工作做出贡献的人都得到认可。我将调查做出适当的更新再次,非常抱歉,我们的任何失误,”莱德继续说道,感谢工程师。专有的商业交流平台Slack吹嘘每天有超过1000万活跃用户,并且在许多工作场所中都是公认的品牌。
虽然Slack可能在报告的五周多时间内修补了漏洞,但此类情况强调了消息传递应用程序可能会造成的潜在损害,因为消息传递应用程序不断增加其功能列表(例如文件上传)和客户数量,如果有安全弱点。
黑客学什么语言好 C++黑客能学不 悬赏 50
LS的不了解情况,通常真正的黑客都是高级程序师,用别人做的工具去攻击网路,但又不十分清楚网络的组成和基本协议或是操作系统知识的人,充其量是网络痞子而已,没有技术含量! 还有会写程序的高级程序师并非懂得关于网络入侵和系统漏洞方面的知识,这也是很多人片面的理解程序师的一面,所谓树业有专攻,程序师也有不同的专攻方向,所以只有了解网络和操作系统基本原理的程序师才算这方面的真正高手! ------------------------ 您的目标定位错了,黑客(泛指网络入侵者),学习什么语言不重要,重要的是必须精通网路各层的关系,和协议的基本原理,还有是要对PC操作系统要也要很精通,必须了解现有操作系统的全部漏洞。以上是作为黑客的必要基础! 然后再是如何使用工具或者编程工具去实现! 编程工具C++是首选,当然其它语言也是可以的
有什么、好看的言情、小说?
《禁果》《宫阙》《倾星》《妖王》《残歌》《手牵手》《把美眉》《人鱼泪》《躲艳记》《倾泠月》《天擎》《斯文禽兽》《都市花盗》《黑道公子》《飘香风流》《风流飘香》《艳遇传说》《现代奇人》《爱煞娘子》《网络骑士》《冷面人生》《倒霉小子》《火星少女》《荒淫时代》《女生宿舍》《神仙职员》《狱锁狂龙》《重生传奇》《荒草之林》《风流教父》《关关雎鸠》《花都猎人》《不是搞鬼》《疯狂老师》《天才混混》《黑道学生》《天生恶人》《一笑倾城》《沧月作品》《言情10本》《步步惊心》《厨娘皇后》《打工传奇》《都市龙游》《黑客传说》《黑市情妇》《红尘有梦》《金钱美人》《狂沙奇缘》《烈火如歌》《梦回大清》《谁主沉浮》《镜花水月》《超级教师》《极品公子》《城北黑帮》《黑道学生Ⅱ》《校园寻美录》《都市逍遥客》《现代强者录》《大口吃掉妳》《女生宿舍Ⅱ》《和空姐同居》《让青春继续》《都市花缘梦》《拐个财神妻》《拉丁混小子》《癞蛤蟆日记》《现代情侠录》《生肖守护神》《天使街23号》《天才混混外集》《左晴雯作品集》《现代异能传奇》《一公升の眼泪》《我的美女老总》《大明星爱上我》《我老婆是买的》《我的大小魔女》《从流氓到舞王》《我老婆是买的》《穷小子艳福星》《CS之赏金猎手》《都市魔幻物語》《美女学院的禁书》《我家有只大老虎》《「丑」人多作怪》《爱在同居的日子》《霸王龙也有春天》《混也是一种生活》《武林高手在校园》《花心不是我的错》《肥妞翻身大作战》《异能高手在校园》《和空姐同居的日子》《牛肉面+阳春面=?》《一个爹爹三个娃》《躲不开的桃花运》《坏蛋是怎样炼成的》《和校花同居的大盗》
发表评论