Slack 决定不修复可暴露用户身份的 XSLeak漏洞

最新推荐文章于 2024-08-03 21:02:21 发布
最新推荐文章于 2024-08-03 21:02:21 发布
阅读量199 收藏
点赞数
文章标签: java 安全 信息安全 微软 https
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247508508&idx=1&sn=301d3ac921e06b697241618dd0551686&chksm=ea949376dde31a6052b0654d67af84a4b1b14f419d50e18bd8cb708ec577fa994ce53d521a47&scene=126&&sessionid=0
版权

e9535ea8cf47e1a1567fea58dd2950ea.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

0fccd4721645e8a247ec71f7a9d5e334.png

Slack 的文件共享功能中存在一个安全漏洞,可导致恶意人员识别该平台用户的身份。Slack 无修复计划,表示用户可通过确保自己工作站中的所有人是“可信”的方式阻止此类攻击。

这类漏洞被称为跨站点泄露 (XSLeak)漏洞,可使攻击者规避同源策略。

f9eaf9ba34e7f38ee214119de271c191.png

社交媒体平台上的 XSLeak 漏洞

df6486450cb46aed2dcd7bca5a4436e5.png

2019年,德国达姆施塔特工业大学的研究员在Facebook、推特和 Microsoft Live 等流行的消息和社交媒体平台的图像分享特性中发现了一个 XSLeak 信道。

从本质上来看看,当用户在私密聊天线程中上传图像后,主机服务会为该资源创建一个唯一的 URL,仅供线程内的各方访问。攻击者可滥用该机制为目标用户创建一个唯一的URL,之后强制访客的浏览器访问另外一个网站请求相同的URL。

攻击者根据浏览器的响应判断该访客是否为同一用户。这一技术可用于指纹攻击或鱼叉式钓鱼攻击中。

安全研究员 Julien Cretel 表示,这篇论文激励他检查“Slack 的文件分享功能是否易受 Leaky Image 攻击影响,结果证实确实如此,而且目前为止仍然如此。”

01fa4cbcc3ab754ee13775f7df946392.png

从文件分享到去匿名化

e298f93773f57de230d5187524150ea0.png

Cretel 在博客中指出,Slack 中的 XSLeak 漏洞取决于攻击者在同样的 Slack 工作空间拥有和目标相同的用户账户,能够向他们发送直接消息。

当用户在直接的消息信道中上传文件时,Slack 生成一个尽可由会话多方访问的URL。而其他用户,不管是否是 Slack 组的一部分,在尝试检索该URL 时都会被重定向至主页面。

Slack 使用 “SameSite=lax” 指令保护其会话 cookie 的安全,这意味着在特定条件下,仅可由域名请求访问。

然而,Cretel 指出,通过一些简单的 JavaScript 编程,攻击者就能够创建网页规避 SameSite 防护措施并提取该 URL。如资源可访问,则攻击者确认访客实际上就是该 Slack 用户。

Cretel 利用 “form-action” 指令创建了一种新型技术,以检测多名 Slack 用户。他还是以哦那个 Slack 的组DM 消息减少识别目标用户所需的文件上传。

27d6b3cbf3e003d4783c475f276a0498.png

缓解而非修复

83186c2670804a425ae378099ff75e53.png

该漏洞存在一些限制条件。该漏洞并不适用于桌面和移动 app 或非 Chromium 浏览器如火狐浏览器和 Safari。

Cretel 在 Chromium 漏洞报告平台上提出该问题,希望 form-action 指令问题得以解决。

然而,Cretel 表示Slack 拒绝修复该漏洞,因为不同于公共服务如推特,Slack 是一个可信的工作空间,“Slack Workspace 中的两名用户之间至少存在某种暗含的信任措施或至少存在某种熟悉度。”

然而,他指出,“Slack 的回复有一些矛盾。一方面,他们假定既定工作空间的员工是善意的而且互相信任;另一方面,他们督促工作空间管理员努力管理成员清单以阻止滥用。”

在很多 Slack 工作空间中,进入门槛非常低。例如,在默认设置下,Slack 可使非guest 成员邀请他人进入工作空间。而某些 Slack 工作空间实际上成为了非常庞大的跨业务消息论坛。

Slack 平台的一名发言人指出,“Slack 一直致力于保护平台安全,我们很高兴安全研究社区为此付出的努力。阻止工作空间成员之间攻击的最佳方法是确保自己工作空间中的所有人都是可信的成员或合作伙伴。Slack 赋予每个组织机构恰当限制成员的邀请和工具权限。我们了解到,一些使用 Slack 的组织机构的成员范围更加宽泛。在这种情况下为实现更严苛的控制,我们建议将权限仅允许工作空间所有人和管理员向新成员发送邀请。”

Cretel 表示,“尽管他们的回复对我而言毫无吸引力,但我必须承认我很感激 Slack 允许我披露该漏洞。既然现在漏洞已公开,那么客户的压力将使他们重新考虑他们的立场。“

推荐阅读

Squirrelmail 1.4.22出现远程代码执行漏洞

Node.js TLSWrap 实现中的释放后使用漏洞分析

下载量达数百万次的NodeJS 模块被曝代码注入漏洞

GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

开源的代理服务器HAProxy 易遭严重的 HTTP 请求走私攻击

原文链接

https://portswigger.net/daily-swig/slack-contains-an-xsleak-vulnerability-that-de-anonymizes-users

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

ceea65af59689988ab6fc5c55a0a9aa1.png

c6660bfaaf4e9393c9ce81df64d31635.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   5be71abc895e302ee9ab66d38bd4d10a.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Slack应用中存在一个漏洞,攻击者可控制受害者账户
weixin_34090643的博客
09-20 201
本文讲的是Slack应用中存在一个漏洞,攻击者可控制受害者账户, 随着信息安全的不断普及,越来越多的用户开始有意识要保护好自己的信息安全,大部分用户已经开始选择使用加密性比较好的通信软件进行交流,公司也开始使用安全性能良好的通信软件。 近期,安全研究员测试了一款安全通信软件——Slack,在其中发现了一枚漏洞,攻击者可由此窃取用户的访问token并掌控...
【翻译】XS-Leaks攻击简介
Sunny_Ducky的博客
06-09 1383
今天在读SP的一篇文章Cross-Origin State Inference (COSI) Attacks:Leaking Web Site States through XS-Leaks的时候,发现对作者使用的XS-Leaks攻击不理解,而且国内博客资料也很少,因此我去Google了一下。在这里,把我的查阅的资料翻译一下,并写下我的理解。后面,我会附上SP那篇论文的论文笔记。 历史1 在10年前,Chris Evans描述了一种针对Yahoo!Mail攻击。这是一个基于network timing的攻击
XS-Leaks漏洞
yggcwhat
05-17 429
XS-Leaks漏洞
XS-Leaks(跨站点泄漏)攻击和预防
allway2的博客
09-05 705
但可以说,防止与缓存相关的 xsleaks 向量的最有效方法是完全禁用您网站的缓存。知道浏览器是否在某处导航(例如,重定向),通常可以推断出关于用户的数据。然后,攻击者可以创建一个恶意网站,对“diabetes” URL 的请求进行计时,并确定用户是否患有糖尿病。当用户访问网站时,这些网站的资源通常会被缓存并存储在用户的磁盘上,因此不必再次下载。如果网站获得窗口句柄,则来自一个来源的网站可以限制访问另一个来源的窗口。不幸的是,基于时间和错误的 xsleak 变体可以利用这一点并确定用户之前是否访问过网站。
谷歌发布 XS-Leaks 漏洞知识库
smellycat000的专栏
12-08 332
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周,谷歌宣布发布关于 XSS 漏洞的信息知识库 XS-Leaks。谷歌表示,XSS 漏洞产生的根因使现代 Web 应用你滥...
slack-meetups:Slack漫游器,可在Slack频道中将用户随机配对1
05-16
闲聊聚会一个Slack机器人,它在Slack频道中将用户随机配对以进行1:1聚会。... 如果您位于公司的Intranet或防火墙之内,而该公司不允许您在公共可访问的URL上接收来自Slack的事件,则需要使用RTM AP
slack-delete:Chrome扩展程序可简化Slack中消息的删除
04-29
"slack-delete:Chrome扩展程序可简化Slack中消息的删除" 这个标题揭示了一个针对Slack用户的实用工具,它是一个Chrome浏览器扩展。"slack-delete"是这个扩展程序的名字,其主要功能是帮助用户更方便地删除Slack聊天...
php-slack-bot:用PHP编写的Slack bot用户
01-30
使用Slack实时消息API 用PHP编写的简单机器人用户 安装 与作曲家一起 composer require jclg/php-slack-bot 用法 创建一个名为bot.php的php文件,内容如下 require 'vendor/autoload.php' ; use PhpSlackBot \ Bot ;...
slack-export-viewer:Slack导出存档查看器,可让您轻松查看和共享Slack团队的导出
05-09
Slack导出查看器 Slack导出存档查看器,可让您轻松查看和共享Slack团队的导出(而不必深入研究数百个JSON文件)。内容概述slack-export-viewer对于使用免费Slack计划(限制为10,000条消息)的小型团队非常有用,这些...
slackdeletron:[不推荐使用]-Slack Deletron的V3.0
02-05
松散的德莱特隆 :file_folder: ␡ V3.0 什么啊Slack Deletron是一项服务,可帮助Slack用户管理其工作区中的文件和存储。 该网站是所有用户都可以使用的的UI包装。 我不为Slack工作(尽管我会 :face_blowing_a_kiss...
如何利用Slack客户端漏洞窃取Slack用户下载的所有文件
systemino的博客
05-30 372
前言 在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这一漏洞,并且Slack已经在其最新更新v3.4.0中修复了该漏洞。 这一漏洞可能允许远程攻击者在Slack频道中提交精心伪造的链接,一旦受害者点击该链接,那么...
Slack安全企业加密管理可轻易用密钥控制数据
weixin_33775572的博客
03-20 148
2019独角兽企业重金招聘Python工程师标准>>> ...
这些严重的 Slack桌面劫持漏洞仅值区区1750美元?
smellycat000的专栏
08-31 249
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队安全研究员Oskars Vegeris负责任地向Slack披露了多个漏洞,它们可导致攻击者劫持用户计算机,但研究员仅获得...
token暴露安全吗_小心!别在Github上泄露了你Slack的token
weixin_39576270的博客
12-20 1448
大量的开发者们把他们的Slack登录凭证上传到了Github和其他公开网站上,任何人都可以偷偷监控他们的对话,或者下载通过Slack传输的数据。Slack是一个基于云的团队沟通协作平台。它是聊天群组 + 大规模工具集成 + 文件整合 + 统一搜索。截至2014年底,Slack 已经整合了电子邮件、短信、Google Drive、Twitter、Trello、Asana、GitHub 等 65 种工...
无法取得sap单点信息cookies怎么解决_滥用企业办公软件 Slack漏洞窃取聊天信息...
weixin_39747511的博客
12-06 3700
背景拥有超过1000万的日常活跃用户Slack 是业界采用最广泛的聊天平台之一。 在我们的安全研究过程中,我们已经看到许多不同的组织使用它来完成一些业务关键功能,例如:·为 CI/CD 管道建立警报·通过 Github 更改生产代码库·密码重置请求到 IT·威胁狩猎/IR(应急响应) 频道协作进行积极调查·全员通告·具体项目的合作·求助台故障排除Slack 还通过集成 A...
如何认识4个缓解Slack安全风险的技巧 原文出自[CE安全网]
MoocBus的博客
04-02 438
暴露的敏感数据而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。 作为流行的企业工作区协作工具和IRC克隆,Slack不提供端到端的加密,这使得任何对Slack服务器的破坏都可能给全球用户带来灾难性后果。如果内部Slack对话泄露,您或您的组织将遭受严重损害,那么是时候考虑加密的Slack替代方案,或者通过锁定您的Slack工作区来降低风险。对此我们采访了技术专家安德鲁•福...
Slack每天有800万用户,300万付费用户
qq_42364914的博客
06-15 250
由于Slack希望吸引更大,更大型的公司,希望能够推出更简单的工作场所协作工具,该公司表示现在已经有800万日常活跃用户。该公司表示它还拥有300万付费用户。作为硅谷的宠儿,Slack最初能够利用对工作场所通信工具的压抑性需求,这些工具简单易用。像Yammer,微软等公司希望在Web 2.0时代以更像消费者工具的方式重新构建内部通信,但Slack提出的方法最初只是一个漂亮的聊天和团队沟通工具。这有...
J031_使用TCP协议支持与多个客户端同时通信
最新发布
lzn20161229的博客
08-03 188
使用TCP协议支持与多个客户端同时通信。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 608
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
掌握Slack聊天机器人开发:NLP实战指南
"《构建Slack机器人》是一本由Paul Asjes撰写的专业书籍,着重介绍如何利用自然语言处理(NLP)技术在企业协作工具Slack中创建功能强大、实用且高效的聊天机器人,从而提升团队沟通效率。这本书是Allitebooks系列的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值