Slack引入的网络挂钩可以用来钓鱼用户

AT&;T外星人实验室的安全研究人员发现了Slack公司中的一个漏洞,可以用来攻击用户。

这一发现,今天宣布,涉及到利用SlackInnerWe bhooks。 作为一种简单的方式将消息从应用程序发布到Slack,传入Webhooks提供了一个独特的URL,在这个URL中,应用程序可以发送带有消息文本和一些选项的JSON有效负载。

网络钩子打开门,在Slack上发布数据。 尽管安全研究人员认为这是一项安全服务,但他们发现这“并不完全正确”。

问题始于信道覆盖功能,这使得通过在JSON有效载荷中添加一个“信道”键可以很容易地覆盖先前指定的webhook目标信道。 在某些情况下,也可以覆盖频道发布条款,但这不是主要漏洞所在。

进入Git中心。 虽然网络钩子URL是秘密和安全的,但研究人员发现130,989个公共代码结果包含Slack网络钩子URL,其中大多数包含唯一的网络钩子值。

使用这些公共URL,SlackWe bhook网络钓鱼与Slack应用程序成为可能。 这个过程包括发现泄露的网络钩子;创建一个Slack应用程序并允许公共安装应用程序;向发现的钩子发送恶意消息;跟踪安装恶意应用程序的工作区;以及使用该应用程序从安装它的工作区中提取数据。

存在一定的局限性.. 例如,访问的深度取决于请求者访问和应用程序最初请求的范围。 目前已经知道使用这种方法在野外窃取Slack数据,但Slack管理员有办法减轻可能的攻击。

第一个也是最简单的是应用美白。 管理员可以选择管理用户的Slack应用程序,并可以设置应用程序白名单和应用程序批准,以审查和批准应用程序安装前。

(0)
上一篇 2022年4月6日
下一篇 2022年4月6日

相关推荐