Jump to content
Sign in to follow this  
mr.save

Уязвимость в Slack позволяла перехватывать контроль над аккаунтами

Recommended Posts

Разработчики корпоративного мессенджера Slack исправили уязвимость в системе безопасности, эксплуатация которой позволяла злоумышленникам путем атаки типа HTTP Request Smuggling похитить cookie-файлы и автоматизировать перехват произвольных учетных записей.

По словам эксперта Эвана Кустодио (Evan Custodio), обнаружившего уязвимость, проблема была «чрезвычайно критичной» как для Slack, так и для всех клиентов и организаций платформы, которые обмениваются личными данными, каналами и разговорами. Эксплуатация уязвимости могла позволить злоумышленникам создавать автоматические боты, которые бы непрерывно атаковали уязвимый актив Slack, перехватывали сеанс жертвы и похищали все доступные данные.

Кустодио сообщил об обнаруженной уязвимости в рамках программы Slack HackerOne. Команда Slack исправила уязвимость в течение 24 часов и наградила Кустодио премией в размере $6 500.

Slack представляет собой популярный корпоративный мессенджер. Он собирает в одном окне обсуждения в общих темах (каналах), приватных группах и личных сообщениях; имеет собственный хостинг, режим превью для изображений и позволяет искать среди всех сообщений сразу. Кроме того, Slack поддерживает интеграцию с почти 100 сторонними сервисами, такими как Dropbox, Google Drive, GitHub, Google Docs, Google Hangouts, Twitter, Trello, MailChimp Heroku, Jirа и пр.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...