安全研究人员Evan Custodio在本周公布了一个存在于Slack上的安全漏洞,该漏洞将允许黑客接管大量的Slack账号,不过,Custodio早在去年11月便通过HackerOne平台提报了该漏洞,Slack则在得知漏洞的24小时内完成修补,也颁发6,500美元的漏洞挖掘奖金给Custodio。
根据Custodio的说明,Slack平台上含有一个“HTTP请求走私”(HTTP Request Smuggling)漏洞,将允许黑客针对邻近的客户请求,执行基于CL.TE的挟持行动,迫使受害者进入开放式重定向,把受害者及其Slack域名cookies转移到黑客的协作客户端,而其中即含有客户的秘密期间cookie,将使得黑客得以接管任何Slack用户的使用期间。
Custodio认为,这是一个严重的安全漏洞,将可暴露大多数的Slack用户资料,黑客可创建多个机器人以展开持续性的攻击,先是接管Slack用户的使用期间,进而窃取用户资料。