安基网 首页 资讯 安全报 查看内容

赏金黑客发现slack多个漏洞,仅获得1750$赏金

2020-9-1 08:56| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 位研究人员负责地向Slack披露了多个漏洞,攻击者可以利用这些漏洞劫持用户的计算机,而这些漏洞仅获得了可怜的1,750美元。使用这些漏洞,攻击者可以简单地上传文件并与另一个Slack用户或频道共享,以触发受害者的Sla ...

位研究人员负责地向Slack披露了多个漏洞,攻击者可以利用这些漏洞劫持用户的计算机,而这些漏洞仅获得了可怜的1,750美元。

使用这些漏洞,攻击者可以简单地上传文件并与另一个Slack用户或频道共享,以触发受害者的Slack应用程序上的漏洞利用。

在2020年1月与Slack私下共享的详细文章中,Evolution Gaming的安全工程师Oskars Vegeris共享了有关该漏洞的大量详细信息。

“通过任何应用程序内重定向-逻辑/开放式重定向,HTML或javascript注入,都可以在Slack桌面应用程序中执行任意代码。此报告演示了一种特制的利用,包括HTML注入,安全控制旁路和RCE Javascript有效负载。经过测试,此漏洞可在最新的Slack for Desktop(4.2,4.3.2)版本(Mac / Windows / Linux)上运行。”

5秒钟的视频演示Vegeris附带HackerOne文章,展示了他如何使用JSON文件触发通过Slack桌面应用程序启动本机计算器应用程序。

多个严重漏洞

该公司本周公开的HackerOne报告显示,工程师列出了可利用Slack应用程序的多种方式。

漏洞利用的最终结果是在客户端(即用户的计算机)上执行任意代码,而不是在Slack的后端执行代码。

由于files。slack。com代码固有的弱点,攻击者可以实现HTML注入,任意代码执行以及跨站点脚本(XSS)。

Vegeris发布的仅一种HTML / JavaScript概念验证(PoC)漏洞显示了通过将有效负载上传到Slack来启动本机计算器应用程序或他们想要的任何其他东西是多么容易。

当将HTML文件的URL插入Slack JSON表示形式的区域标签中时,将在用户的计算机上启用”一键式RCE''。

工程师说:“ area标签内的URL链接将包含针对Slack Desktop应用程序的HTML / JS漏洞利用程序,该漏洞利用程序可以执行攻击者提供的任何命令。”

Vegeris在另一条评论中表示,``以前报告的键盘记录也可能适用'',指的是Matt Mattlolois提交的2019年错误报告。

那是赏金吗?

Vegeris在投入大量时间进行负责任的披露后,仅获得了1,750美元的漏洞赏金,这与Infosec并不相符。

Twitter上的普遍共识是,由200万美元的大型公司使用的Slack建筑消息传递应用程序,如果在非法的暗网市场上出售此类漏洞,将面临严重的后果(这将为工程师带来不菲的收益)1,750美元)。

Mashable报告了进一步抨击Slack的用户实例,例如:OWASP ASVS标准的骇客兼合著者Daniel Cuthbert在Twitter帖子中说:``松弛,成千上万的人用于关键任务设计聊天,DevOps,安全性,合并和收购,列表无穷无尽。该研究人员发现的缺陷导致在用户计算机上执行任意命令。TL; DR很棒。”卡斯伯特(Cuthbert)恳求Slack为此类报告“适当支付”,因为此类漏洞将在黑市上出售更多。

“在所有这些努力中,他们获得了1750美元的奖励。一百七十美元。@ SlackHQ首先,缺陷是一个相当大的问题,我的意思是验证很困难,但是来了,然后请适当付款。在exploit。in上。”

Slack在两个月前发布的宣传博客文章中赞扬了其“应用程序沙箱”功能,而不是透露导致其开发的漏洞详细信息,该公司还忘记了归功于Vegeris(现已更正)。那时Vegeris要求在本周公开披露有关HackerOne的信息,并邀请Slack致以诚挚的歉意。

“我叫Larkin Ryder,我目前在Slack担任临时首席安全官。@ brandenjordan使我意识到了这一失误,我谨此致以诚挚的歉意,以感谢您对工作的任何监督。我们非常感谢您为使Slack更安全而投入的时间和精力,” Ryder在报告中说。

“虽然安全团队没有撰写此博客文章,并且作者对您在H1的工作没有了解,但我们应该采取额外的步骤,以确保所有对在此领域内的改进工作做出贡献的人都得到认可。我将调查做出适当的更新再次,非常抱歉,我们的任何失误,”莱德继续说道,感谢工程师。专有的商业交流平台Slack吹嘘每天有超过1000万活跃用户,并且在许多工作场所中都是公认的品牌。

虽然Slack可能在报告的五周多时间内修补了漏洞,但此类情况强调了消息传递应用程序可能会造成的潜在损害,因为消息传递应用程序不断增加其功能列表(例如文件上传)和客户数量,如果有安全弱点。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://netsecurity.51cto.com/art/202008/625000.htm

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
极速赛车精准计划软件 山东11选5计划 快3平台 福建快3开奖 W彩票计划群 山东11选5走势 任我赢机器人 凤凰娱乐彩票计划群 环球一号彩票计划群 极速赛车冠军三码