獨立資安研究人員 Evan Custodio 在資安通報平台 Hackerone 上,發表一個 Slack 的嚴重漏洞;該漏洞可能導致大量用戶資料外洩,甚至帳號被駭侵者盜走。
Custodio 在漏洞報告中指出,這個漏洞是利用所謂「HTTP 請求走私」,駭侵者可利用這個漏洞進行以 CL.TE 為基礎的封包挾持,並且竊得用戶階段的私密 cookie;受害者的 Slack 通訊將會被重新導向到駭侵者指定的 client。
透過這種攻擊手法,駭侵者即可取得 Slack 受害用戶的各種資料,並透過自動化的方式,大量取得眾多 Slack 用戶的帳號存取權,是非常嚴重的漏洞。
這個漏洞的 CVSS 危險程度評分高度 9.3 分。
該漏洞是在去年11月就透過 Hackerone 平台提報給 Slack,Slack 也很快的在 24 小時內修補該漏洞;漏洞相關情報在近日才予以公開。
- 影響產品:Slack
▼參考連結▼
- https://hackerone.com/reports/737140
- https://www.zdnet.com/article/slack-vulnerability-allowed-session-hijacking-account-takeovers/
【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/newepaper/lp-67-3.html
文章標籤
全站熱搜
留言列表
資安宣導 (2)
