本文講的是<b>Slack應用中存在一個漏洞,攻擊者可控制受害者賬戶</b>,
随着資訊安全的不斷普及,越來越多的使用者開始有意識要保護好自己的資訊安全,大部分使用者已經開始選擇使用加密性比較好的通信軟體進行交流,公司也開始使用安全性能良好的通信軟體。
近期,安全研究員測試了一款安全通信軟體——Slack,在其中發現了一枚漏洞,攻擊者可由此竊取使用者的通路token并掌控使用者賬戶。
漏洞賞金獵人Frans Rosen在浏覽器上使用Slack進行通信時發現了這一漏洞,并成功示範可利用該漏洞竊取使用者的通路token。
我可以建立一個惡意頁面,然後重新将你的網頁版Slack WebSocket連接配接到我自己的WebSocket,然後從中竊取你的Slack token。Slack反應非常迅速,在漏洞送出之後的五個小時内便将其修複了,并支付了我3000美元的獎金。
Slack使用的postMessage存在安全問題
Slack使用的技術是postMessage,允許來自不同源的腳本采用異步方式進行有限的通信,可以實作跨文本檔、多視窗、跨域消息傳遞。通常情況下,隻有網頁之間通過相同協定(都是用https)、相同端口(https預設443端口)、相同的host。
使用window.addEventListener(‘message’, func) 和window.postMessage()在跨域之間傳遞資訊是一種非常好用的方法,但是同樣也有一個非常可怕的弊端——它不會核查不同域傳遞過來的資訊。
Slack在使用 postMessage時,沒有核對不同域之間傳遞的資訊,是以才導緻這一漏洞的存在。Rosen發現這一問題之後立即進行了驗證,可以利用這一漏洞竊取使用者的通路token。
原文釋出時間為:2017年3月6日
本文作者:張奕源Nick
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/3698.html" target="_blank">原文連結</a>