日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一位研究人員負(fù)責(zé)地向Slack披露了多個(gè)漏洞，攻擊者可以利用這些漏洞劫持用戶的計(jì)算機(jī)，而這些漏洞僅獲得了可憐的1,750美元。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊(cè)、網(wǎng)站空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、海州網(wǎng)站維護(hù)、網(wǎng)站推廣。

使用這些漏洞，攻擊者可以簡(jiǎn)單地上傳文件并與另一個(gè)Slack用戶或頻道共享，以觸發(fā)受害者的Slack應(yīng)用程序上的漏洞利用。

在2020年1月與Slack私下共享的詳細(xì)文章中，Evolution Gaming的安全工程師Oskars Vegeris共享了有關(guān)該漏洞的大量詳細(xì)信息。

“通過(guò)任何應(yīng)用程序內(nèi)重定向-邏輯/開放式重定向，HTML或javascript注入，都可以在Slack桌面應(yīng)用程序中執(zhí)行任意代碼。此報(bào)告演示了一種特制的利用，包括HTML注入，安全控制旁路和RCE Javascript有效負(fù)載。經(jīng)過(guò)測(cè)試，此漏洞可在最新的Slack for Desktop(4.2，4.3.2)版本(Mac / Windows / Linux)上運(yùn)行?！?/p>

5秒鐘的視頻演示Vegeris附帶HackerOne文章，展示了他如何使用JSON文件觸發(fā)通過(guò)Slack桌面應(yīng)用程序啟動(dòng)本機(jī)計(jì)算器應(yīng)用程序。

多個(gè)嚴(yán)重漏洞

該公司本周公開的HackerOne報(bào)告顯示，工程師列出了可利用Slack應(yīng)用程序的多種方式。

漏洞利用的最終結(jié)果是在客戶端(即用戶的計(jì)算機(jī))上執(zhí)行任意代碼，而不是在Slack的后端執(zhí)行代碼。

由于files.slack.com代碼固有的弱點(diǎn)，攻擊者可以實(shí)現(xiàn)HTML注入，任意代碼執(zhí)行以及跨站點(diǎn)腳本(XSS)。

Vegeris發(fā)布的僅一種HTML / JavaScript概念驗(yàn)證(PoC)漏洞顯示了通過(guò)將有效負(fù)載上傳到Slack來(lái)啟動(dòng)本機(jī)計(jì)算器應(yīng)用程序或他們想要的任何其他東西是多么容易。

當(dāng)將HTML文件的URL插入Slack JSON表示形式的區(qū)域標(biāo)簽中時(shí)，將在用戶的計(jì)算機(jī)上啟用”一鍵式RCE''。

工程師說(shuō)：“ area標(biāo)簽內(nèi)的URL鏈接將包含針對(duì)Slack Desktop應(yīng)用程序的HTML / JS漏洞利用程序，該漏洞利用程序可以執(zhí)行攻擊者提供的任何命令。”

Vegeris在另一條評(píng)論中表示，``以前報(bào)告的鍵盤記錄也可能適用''，指的是Matt Mattlolois提交的2019年錯(cuò)誤報(bào)告。

那是賞金嗎?

Vegeris在投入大量時(shí)間進(jìn)行負(fù)責(zé)任的披露后，僅獲得了1,750美元的漏洞賞金，這與Infosec并不相符。

Twitter上的普遍共識(shí)是，由200萬(wàn)美元的大型公司使用的Slack建筑消息傳遞應(yīng)用程序，如果在非法的暗網(wǎng)市場(chǎng)上出售此類漏洞，將面臨嚴(yán)重的后果(這將為工程師帶來(lái)不菲的收益)1,750美元)。

Mashable報(bào)告了進(jìn)一步抨擊Slack的用戶實(shí)例，例如：OWASP ASVS標(biāo)準(zhǔn)的駭客兼合著者Daniel Cuthbert在Twitter帖子中說(shuō)：``松弛，成千上萬(wàn)的人用于關(guān)鍵任務(wù)設(shè)計(jì)聊天，DevOps，安全性，合并和收購(gòu)，列表無(wú)窮無(wú)盡。該研究人員發(fā)現(xiàn)的缺陷導(dǎo)致在用戶計(jì)算機(jī)上執(zhí)行任意命令。TL; DR很棒?！笨ㄋ共?Cuthbert)懇求Slack為此類報(bào)告“適當(dāng)支付”，因?yàn)榇祟惵┒磳⒃诤谑猩铣鍪鄹唷?/p>

“在所有這些努力中，他們獲得了1750美元的獎(jiǎng)勵(lì)。一百七十美元。@ SlackHQ首先，缺陷是一個(gè)相當(dāng)大的問(wèn)題，我的意思是驗(yàn)證很困難，但是來(lái)了，然后請(qǐng)適當(dāng)付款。在exploit.in上?！?/p>

Slack在兩個(gè)月前發(fā)布的宣傳博客文章中贊揚(yáng)了其“應(yīng)用程序沙箱”功能，而不是透露導(dǎo)致其開發(fā)的漏洞詳細(xì)信息，該公司還忘記了歸功于Vegeris(現(xiàn)已更正)。那時(shí)Vegeris要求在本周公開披露有關(guān)HackerOne的信息，并邀請(qǐng)Slack致以誠(chéng)摯的歉意。

“我叫Larkin Ryder，我目前在Slack擔(dān)任臨時(shí)首席安全官。@ brandenjordan使我意識(shí)到了這一失誤，我謹(jǐn)此致以誠(chéng)摯的歉意，以感謝您對(duì)工作的任何監(jiān)督。我們非常感謝您為使Slack更安全而投入的時(shí)間和精力，” Ryder在報(bào)告中說(shuō)。

“雖然安全團(tuán)隊(duì)沒(méi)有撰寫此博客文章，并且作者對(duì)您在H1的工作沒(méi)有了解，但我們應(yīng)該采取額外的步驟，以確保所有對(duì)在此領(lǐng)域內(nèi)的改進(jìn)工作做出貢獻(xiàn)的人都得到認(rèn)可。我將調(diào)查做出適當(dāng)?shù)母略俅?，非常抱歉，我們的任何失誤，”萊德繼續(xù)說(shuō)道，感謝工程師。專有的商業(yè)交流平臺(tái)Slack吹噓每天有超過(guò)1000萬(wàn)活躍用戶，并且在許多工作場(chǎng)所中都是公認(rèn)的品牌。

雖然Slack可能在報(bào)告的五周多時(shí)間內(nèi)修補(bǔ)了漏洞，但此類情況強(qiáng)調(diào)了消息傳遞應(yīng)用程序可能會(huì)造成的潛在損害，因?yàn)橄鬟f應(yīng)用程序不斷增加其功能列表(例如文件上傳)和客戶數(shù)量，如果有安全弱點(diǎn)。

分享題目：賞金黑客發(fā)現(xiàn)slack多個(gè)漏洞，僅獲得1750$賞金
標(biāo)題路徑：http://m.5511xx.com/article/djsscge.html