赏金黑客发现slack多个漏洞，仅获得1750$赏金

一位研究人员负责地向Slack披露了多个漏洞，攻击者可以利用这些漏洞劫持用户的计算机，而这些漏洞仅获得了可怜的1,750美元。

使用这些漏洞，攻击者可以简单地上传文件并与另一个Slack用户或频道共享，以触发受害者的Slack应用程序上的漏洞利用。

[[339901]]

在2020年1月与Slack私下共享的详细文章中，Evolution Gaming的安全工程师Oskars Vegeris共享了有关该漏洞的大量详细信息。

“通过任何应用程序内重定向-逻辑/开放式重定向，HTML或javascript注入，都可以在Slack桌面应用程序中执行任意代码。此报告演示了一种特制的利用，包括HTML注入，安全控制旁路和RCE Javascript有效负载。经过测试，此漏洞可在最新的Slack for Desktop(4.2，4.3.2)版本(Mac / Windows / Linux)上运行。”

5秒钟的视频演示Vegeris附带HackerOne文章，展示了他如何使用JSON文件触发通过Slack桌面应用程序启动本机计算器应用程序。

多个严重漏洞

该公司本周公开的HackerOne报告显示，工程师列出了可利用Slack应用程序的多种方式。

漏洞利用的最终结果是在客户端(即用户的计算机)上执行任意代码，而不是在Slack的后端执行代码。

由于files.slack.com代码固有的弱点，攻击者可以实现HTML注入，任意代码执行以及跨站点脚本(XSS)。

Vegeris发布的仅一种HTML / JavaScript概念验证(PoC)漏洞显示了通过将有效负载上传到Slack来启动本机计算器应用程序或他们想要的任何其他东西是多么容易。

当将HTML文件的URL插入Slack JSON表示形式的区域标签中时，将在用户的计算机上启用”一键式RCE”。

工程师说：“ area标签内的URL链接将包含针对Slack Desktop应用程序的HTML / JS漏洞利用程序，该漏洞利用程序可以执行攻击者提供的任何命令。”

Vegeris在另一条评论中表示，“以前报告的键盘记录也可能适用”，指的是Matt Mattlolois提交的2019年错误报告。

那是赏金吗?

Vegeris在投入大量时间进行负责任的披露后，仅获得了1,750美元的漏洞赏金，这与Infosec并不相符。

Twitter上的普遍共识是，由200万美元的大型公司使用的Slack建筑消息传递应用程序，如果在非法的暗网市场上出售此类漏洞，将面临严重的后果(这将为工程师带来不菲的收益)1,750美元)。

Mashable报告了进一步抨击Slack的用户实例，例如：OWASP ASVS标准的骇客兼合著者Daniel Cuthbert在Twitter帖子中说：“松弛，成千上万的人用于关键任务设计聊天，DevOps，安全性，合并和收购，列表无穷无尽。该研究人员发现的缺陷导致在用户计算机上执行任意命令。TL; DR很棒。”卡斯伯特(Cuthbert)恳求Slack为此类报告“适当支付”，因为此类漏洞将在黑市上出售更多。

“在所有这些努力中，他们获得了1750美元的奖励。一百七十美元。@ SlackHQ首先，缺陷是一个相当大的问题，我的意思是验证很困难，但是来了，然后请适当付款。在exploit.in上。”

Slack在两个月前发布的宣传博客文章中赞扬了其“应用程序沙箱”功能，而不是透露导致其开发的漏洞详细信息，该公司还忘记了归功于Vegeris(现已更正)。那时Vegeris要求在本周公开披露有关HackerOne的信息，并邀请Slack致以诚挚的歉意。

“我叫Larkin Ryder，我目前在Slack担任临时首席安全官。@ brandenjordan使我意识到了这一失误，我谨此致以诚挚的歉意，以感谢您对工作的任何监督。我们非常感谢您为使Slack更安全而投入的时间和精力，” Ryder在报告中说。

“虽然安全团队没有撰写此博客文章，并且作者对您在H1的工作没有了解，但我们应该采取额外的步骤，以确保所有对在此领域内的改进工作做出贡献的人都得到认可。我将调查做出适当的更新再次，非常抱歉，我们的任何失误，”莱德继续说道，感谢工程师。专有的商业交流平台Slack吹嘘每天有超过1000万活跃用户，并且在许多工作场所中都是公认的品牌。

虽然Slack可能在报告的五周多时间内修补了漏洞，但此类情况强调了消息传递应用程序可能会造成的潜在损害，因为消息传递应用程序不断增加其功能列表(例如文件上传)和客户数量，如果有安全弱点。