松弛漏洞会让黑客接管帐户和读取档案

今天上午,一位研究人员报告了Slack中一个以前未知的漏洞,该漏洞可以通过破坏用户的身份验证令牌来接管帐户和读取存档邮件。周二晚上首次报道,这个漏洞很快就被Slack修补了。该公司声称,根据对过去两年日志的检查,没有成功利用该漏洞。...

今天上午,一位研究人员报告了Slack中一个以前未知的漏洞,该漏洞可以通过破坏用户的身份验证令牌来接管帐户和读取存档邮件。周二晚上首次报道,这个漏洞很快就被Slack修补了。该公司声称,根据对过去两年日志的检查,没有成功利用该漏洞。

007Ys3FFgy1gqctfdiuczj31xg1ab4qq

Detectify的FransRosen发现了这个漏洞,他在注意到Slack使用弹出窗口的方式存在缺陷后,创建了概念验证。当Slack启动一个呼叫时,它会在一个弹出窗口中启动,但是Rosen发现这个弹出窗口并没有验证新窗口和原始聊天应用程序之间的消息。这意味着,如果你在后台运行Rosen的恶意网页,该网页可能伪装成Slack服务器,向新打开的呼叫窗口发送虚假呼叫。在此过程中,Rosen的页面可以获取用户的身份验证令牌(基本上是任何会话的密码),从而允许对所有帐户数据(包括消息存档)进行完全访问。

根据Rosen的说法,关键是一个名为PostMessage的函数,它通常用于Slack之类的异步消息服务,但通常会导致这种身份验证不足。”[“邮件]需要你小心,”罗森写道如果没有,并且没有检查消息来自何处,则消息实际上可能是从另一个网页发送的。”

这不是Slack的认证令牌第一次给公司带来麻烦。去年4月,Detectify发现了1500多个Slack令牌,这些令牌是作为Slack集成代码的一部分无意中发布到Github的,这让用户面临类似的后果。

Rosen通过HackerOne公开服务联系Slack了解该漏洞,并通过添加另一层身份验证迅速解决。斯莱克在接到通知后五个小时内就部署了修复程序,罗森为此获得了3000美元的报酬。”这正是为什么我们要投资于我们的公共漏洞赏金计划,”Slack的一位发言人告诉Verge。

没有迹象表明有人积极利用了这个漏洞,但它利用了人们对应用程序数据安全策略的长期担忧。2014年,Slack的注册过程显示,在验证用户之前,它意外地泄露了一个组织的一些组。

  • 发表于 2021-05-10 04:06
  • 阅读 ( 111 )
  • 分类:互联网

你可能感兴趣的文章

网络罪犯拥有中情局的黑客工具:这对你意味着什么

...制。现在罪犯(可能)拥有了它们。然而,许多已发布的漏洞(还有许多尚未发布的漏洞)已经有近5年的历史了,并且已经被修补过了。 ...

  • 发布于 2021-03-15 07:51
  • 阅读 ( 267 )

你的sim卡被黑客攻击的两种方式(以及如何保护它)

...知道,你的智能**的操作系统需要定期更新,以防止安全漏洞。但你的SIM卡也可能是安全漏洞的来源。在这里,我们将向您展示黑客使用SIM卡访问设备的一些方法,以及如何保护SIM卡安全的建议。 ...

  • 发布于 2021-03-18 01:51
  • 阅读 ( 646 )

更新google-chrome以击败零日攻击

谷歌透露,其Chrome浏览器中的一个零日漏洞正被积极利用。谷歌在3月1日发布了一个补丁来解决这个问题,但没有公布事实。结果是你需要尽快更新googlechrome。 ...

  • 发布于 2021-03-21 18:05
  • 阅读 ( 162 )

facebook黑客攻击影响5000万账户

...约5000万Facebook用户的账户可能被访问,这是一次重大安全漏洞的一部分。这是由于一个或多个未知方利用Facebook代码中的漏洞并因此窃取访问令牌。 ...

  • 发布于 2021-03-23 13:12
  • 阅读 ( 182 )

你从facebook注销了吗?因为5000万人被黑客攻击了

...否被正确应用,例如。 黑客可以利用这个功能中的安全漏洞窃取访问令牌来接管人们的帐户,基本上就是让你登录的登录cookies。这与几年前人们在热点地区嗅探网络流量时开始流行的会话劫持攻击没有什么不同。这是你一直想...

  • 发布于 2021-04-04 09:47
  • 阅读 ( 169 )

cs:go有一个多年的漏洞,可以让黑客接管你的电脑

黑客在反击战中发现了一个新的漏洞:全球攻势,如果你点击Steam邀请玩流行的第一人称射击游戏,黑客就可以控制你的电脑。 这个漏洞是由一个白帽黑客组织秘密俱乐部发现的,该组织发现黑客可以通过使用Steam的...

  • 发布于 2021-04-15 22:18
  • 阅读 ( 134 )

推特的大规模攻击:苹果、拜登、奥巴马、马斯克等推特发布比特币骗局后我们所知道的

...户遭到泄露,这是该平台有史以来最普遍、最令人困惑的漏洞之一,所有这些都是为了宣传一个比特币骗局,该骗局为其创造者赢得了近12万美元。 多项执法调查,包括联邦调查局的一项调查,目前正积极调查这一情...

  • 发布于 2021-04-18 13:51
  • 阅读 ( 241 )

阅读twitter关于这个巨大的hack-8账户的最新消息——可能有私人信息被盗

...第一篇完整的博客文章,讲述了该公司历史上最大的安全漏洞之后发生的事情,这一漏洞导致攻击者掌握了一些全球知名度最高的Twitter账户——包括民主党总统候选人乔·拜登、总统巴拉克·奥巴马、特斯拉首席执行官埃隆·马...

  • 发布于 2021-04-18 14:28
  • 阅读 ( 178 )

据报道,在大黑客入侵前几年,推特承包商就开始监视名人,包括碧昂丝

...的——《****》报道说,一名参与攻击的个人在公司内部松弛频道看到这些工具的凭据后获得了这些工具的访问权限,而主板公司则与一名说他们向Twitter员工支付了访问权限的人进行了交谈。 该公司告诉《边缘报》,滥用Twitter...

  • 发布于 2021-04-18 16:18
  • 阅读 ( 158 )

gps漏洞可能允许黑客跟踪、接管智能手机

...交换。 Weinmann在几个Android设备上演示了这个漏洞,并解释说黑客可以利用这个安全漏洞来指示智能**在每次发送a-GPS信息时报告其位置。他还解释说,这些信息不是由**的GPS或无线电芯片处理的,而是由主处理器处理...

  • 发布于 2021-04-23 14:10
  • 阅读 ( 122 )
09330236
09330236

0 篇文章

相关推荐