有图无图
永利304电子游戏网站 >永利304电子游戏网站 >Slack Exploit News:缺陷可能让黑客访问帐户,存档消息 >

Slack Exploit News:缺陷可能让黑客访问帐户,存档消息

Slack Exploit News:缺陷可能让黑客访问帐户,存档消息

Slack
Slack 照片:Giorgio Minguzzi / Flickr

发现,消息传递平台Slack修复了一个漏洞利用程序,可以让黑客接管帐户并读取存档的消息。

该漏洞可能允许黑客窃取用户身份验证令牌,这将使他们能够访问个人帐户。 研究人员FransRosén 了该漏洞。

“我能够创建一个恶意页面,将Slack WebSocket重新连接到我自己的WebSocket上,以窃取你的私人Slack令牌,”Rosén解释道。

在他注意到他可以操纵Slack上的某些代码功能之后,他首先发现了这个漏洞,例如切换到其他聊天和控制浏览器通知。 Rosén发现了其他较小的漏洞,让他可以放弃呼叫和拦截消息,但这些事件并不“足够有力”,他说。

研究人员说,Slack在五小时内修复了这个漏洞。 了一篇关于这个问题的摘要并说:

“ 发现了一个漏洞,允许攻击者运行恶意网站窃取XOXS令牌。 我们解决了postMessage和call-popup重定向问题,并进行了彻底调查,以确认这一点从未被利用过。“

Slack还因报告错误而向他支付了3,000美元。


载入中...