Slack应用中存在一个漏洞,攻击者可控制受害者账户

简介: 本文讲的是Slack应用中存在一个漏洞,攻击者可控制受害者账户,随着信息安全的不断普及,越来越多的用户开始有意识要保护好自己的信息安全,大部分用户已经开始选择使用加密性比较好的通信软件进行交流,公司也开始使用安全性能良好的通信软件。
本文讲的是 Slack应用中存在一个漏洞,攻击者可控制受害者账户

Slack应用中存在一个漏洞,攻击者可控制受害者账户

随着信息安全的不断普及,越来越多的用户开始有意识要保护好自己的信息安全,大部分用户已经开始选择使用加密性比较好的通信软件进行交流,公司也开始使用安全性能良好的通信软件。

近期,安全研究员测试了一款安全通信软件——Slack,在其中发现了一枚漏洞,攻击者可由此窃取用户的访问token并掌控用户账户。

漏洞赏金猎人Frans Rosen在浏览器上使用Slack进行通信时发现了这一漏洞,并成功演示可利用该漏洞窃取用户的访问token。

我可以创建一个恶意页面,然后重新将你的网页版Slack WebSocket连接到我自己的WebSocket,然后从中窃取你的Slack token。Slack反应非常迅速,在漏洞提交之后的五个小时内便将其修复了,并支付了我3000美元的奖金。

Slack使用的postMessage存在安全问题

Slack使用的技术是postMessage,允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。通常情况下,只有网页之间通过相同协议(都是用https)、相同端口(https默认443端口)、相同的host。

使用window.addEventListener(‘message’, func) 和window.postMessage()在跨域之间传递信息是一种非常好用的方法,但是同样也有一个非常可怕的弊端——它不会核查不同域传递过来的信息。

Slack在使用 postMessage时,没有核对不同域之间传递的信息,所以才导致这一漏洞的存在。Rosen发现这一问题之后立即进行了验证,可以利用这一漏洞窃取用户的访问token。




原文发布时间为:2017年3月6日
本文作者:張奕源Nick 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 Shell API
绕过反病毒添加管理员用户小结
绕过反病毒添加管理员用户小结
168 0
绕过反病毒添加管理员用户小结
|
云安全 监控 安全
攻击者使用showDoc的漏洞传播僵尸网络
近日,阿里云安全团队基于威胁情报挖掘网络攻击日志的过程中,发现了使用showDoc漏洞传播僵尸网络和挖矿软件的攻击事件,使用该手法传播僵尸网络暂未被公开报告过。
1412 0
攻击者使用showDoc的漏洞传播僵尸网络
|
Web App开发 JavaScript 安全
警告:黑客发动在线钓鱼攻击不再依赖电子邮件
  安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为“在线钓鱼攻击(in-session phishing)”,这种攻击能够帮助黑客轻而易举地窃取网上银行电子证书。
1184 0
|
Web App开发 JavaScript 安全
黑客利用弹出窗口冒充安全警告发起钓鱼攻击
根据安全厂商Trusteer研究员的发现,该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞,通过这种称为“in-session phishing”的会话钓鱼攻击,可以更轻易地窃取到网上银行证书。
1030 0
|
云安全 安全 网络安全
蠕虫利用新公开的Confluence RCE漏洞进行大规模攻击,用户应尽快修复
4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。
16946 0
|
安全 数据安全/隐私保护 Windows
|
安全 Unix Linux
CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散
本文讲的是CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散,昨天晚上,开源软件Samba官方发布安全公告,称刚刚修复了软件内一个已有七年之久的严重漏洞(CVE-2017-7494),可允许攻击者远程控制受影响的Linux和Unix机器。
1782 0
|
JavaScript 安全 API
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
本文讲的是趋势杀毒曝远程执行漏洞 可盗取用户所有密码,谷歌著名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
1129 0