Уязвимость в Slack позволяла захватывать аккаунты - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
17-03-2020, 00:11
Уязвимость в Slack позволяла захватывать аккаунты - «Новости»
Рейтинг:
Категория: Новости

Разработчики Slack исправили уязвимость, которая позволяла захватывать чужие учетные записи. Проблему еще в ноябре 2019 года обнаружил ИБ-исследователь Иван Кастодио (Evan Custodio).


Кастодио обнаружил уязвимость, используя атаки HTTP Request Smuggling и инструменты собственной разработки. По сути баг позволял похищать cookie-файлы сессий через HTTP Request Smuggling и устанавливать контроль над чужими учетными записями.


Исследователь пишет, что уязвимость была «чрезвычайно критичной» как для компании Slack, так и для всех клиентов и организаций, использующих платформу. Дело в том, что эксплуатация бага могли привести «к серьезной компрометации большинства данных клиентов», а злоумышленники могли бы создавать автоматизированных ботов, которые осуществляли бы непрерывные атаки, перехватывали сессии жертв и воровали все, до чего могут добраться. Схему такой атаки можно увидеть ниже.






Разработчики Slack оперативно устранили данную уязвимость, а исследователю выплатили 6500 долларов США по программе bug bounty.


Кроме того, в Slack был исправлен еще один опасный баг, найденный специалистами Detectify. Уязвимость позволяла злоумышленникам похищать токены аутентификации пользователей, которые затем могли обеспечить полный контроль над сообщениями и учетной записью жертвы. Как пишут нашедшие проблему эксперты, хакеры, по сути, могли создавать вредоносные сайты для хищения токенов XOXS. Раскрытие этой ошибки принесло специалистами Detectify 3000 долларов США по программу вознаграждения за уязвимости.


Разработчики Slack исправили уязвимость, которая позволяла захватывать чужие учетные записи. Проблему еще в ноябре 2019 года обнаружил ИБ-исследователь Иван Кастодио (Evan Custodio). Кастодио обнаружил уязвимость, используя атаки HTTP Request Smuggling и инструменты собственной разработки. По сути баг позволял похищать cookie-файлы сессий через HTTP Request Smuggling и устанавливать контроль над чужими учетными записями. Исследователь пишет, что уязвимость была «чрезвычайно критичной» как для компании Slack, так и для всех клиентов и организаций, использующих платформу. Дело в том, что эксплуатация бага могли привести «к серьезной компрометации большинства данных клиентов», а злоумышленники могли бы создавать автоматизированных ботов, которые осуществляли бы непрерывные атаки, перехватывали сессии жертв и воровали все, до чего могут добраться. Схему такой атаки можно увидеть ниже. Разработчики Slack оперативно устранили данную уязвимость, а исследователю выплатили 6500 долларов США по программе bug bounty. Кроме того, в Slack был исправлен еще один опасный баг, найденный специалистами Detectify. Уязвимость позволяла злоумышленникам похищать токены аутентификации пользователей, которые затем могли обеспечить полный контроль над сообщениями и учетной записью жертвы. Как пишут нашедшие проблему эксперты, хакеры, по сути, могли создавать вредоносные сайты для хищения токенов XOXS. Раскрытие этой ошибки принесло специалистами Detectify 3000 долларов США по программу вознаграждения за уязвимости.

Теги: CSS

Просмотров: 533
Комментариев: 0:   17-03-2020, 00:11
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: