協作通訊平台 Slack 被發現重大漏洞,可能導致大量帳號遭盜.png

獨立資安研究人員 Evan Custodio 在資安通報平台 Hackerone 上,發表一個 Slack 的嚴重漏洞;該漏洞可能導致大量用戶資料外洩,甚至帳號被駭侵者盜走。

Custodio 在漏洞報告中指出,這個漏洞是利用所謂「HTTP 請求走私」,駭侵者可利用這個漏洞進行以 CL.TE 為基礎的封包挾持,並且竊得用戶階段的私密 cookie;受害者的 Slack 通訊將會被重新導向到駭侵者指定的 client。

透過這種攻擊手法,駭侵者即可取得 Slack 受害用戶的各種資料,並透過自動化的方式,大量取得眾多 Slack 用戶的帳號存取權,是非常嚴重的漏洞。

這個漏洞的 CVSS 危險程度評分高度 9.3 分。

該漏洞是在去年11月就透過 Hackerone 平台提報給 Slack,Slack 也很快的在 24 小時內修補該漏洞;漏洞相關情報在近日才予以公開。

  • 影響產品:Slack

 


▼參考連結▼

【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/newepaper/lp-67-3.html

 

 

twcert 發表在 痞客邦 留言(0) 人氣()