记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何利用Slack客户端漏洞窃取Slack用户下载的所有文件

前言在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这一漏洞,并且Slack已经在其最新更新v3.4.0中修复了该漏洞。这一漏洞可能允许远程攻击者在Slack频道中提交精心伪造的链接,一旦受害者点击该链接,那么就会将Slack客户端的下载位置更改为攻击者控制的SMB共享。这样一来,受害者此后下载的所有文档可能都会最终上传到攻击者控制的文件服务器上,直到受害者发现这一配置信息被篡改,并手动修改回来为止。在攻击者的服务器上,攻击者不仅可以窃取文
发布时间:2019-05-30 12:25 | 阅读:56478 | 评论:0 | 标签:业务安全 Slack 漏洞

小心!别在Github上泄露了你Slack的token

大量的开发者们把他们的Slack登录凭证上传到了Github和其他公开网站上,任何人都可以偷偷监控他们的对话,或者下载通过Slack传输的数据。根据周四的一篇博文,Detectify公司的研究人员最近估计,大约1500个token被公布在了网上,有些甚至是属于财富500强的公司,支付提供商、ISP、医保提供商。研究人员私下把他们的发现汇报给了Slack,Slack称,它会经常监控,检查是否有敏感的token泄漏。Github泄露大量Slack token在Github搜索“xoxp”,返回了超过7400个结果,这个”xoxp”是让自动化脚本访问Slack账号时会用到的token的前缀,即使开启了二步验证也会有这个前缀。另一个搜索则找到了超过4
发布时间:2016-04-30 19:15 | 阅读:101808 | 评论:0 | 标签:网络安全 github Slack

第三方通信工具Slack遭黑客攻击

早间消息,企业管理服务创业公司Slack周五称,该公司在2月遭遇的一次黑客攻击可能已导致手机号码和Skype ID等用户信息泄露。 Slack总部位于旧金山,提供可与谷歌Hangout和Twitter等多个第三方应用整合的通信工具,其客户包括纽约时报公司、流媒体音乐服务提供商Spotify和美国短租网站Airbnb等。 Slack周五发表博文称,从目前正在进行的一项调查来看,并无迹象表明黑客能解码其储存的密码。此次黑客攻击活动持续了大约四天,期间并无财务或支付信息泄露。Slack表示,调查发现一些账户存在“可疑活动”,并已就此向受影响用户发出通知。 网络黑客已成为企业面临的最大威胁之一,索尼和零售巨头塔吉特等公司都在最近遭到了黑客攻击。(唐风)
发布时间:2015-03-28 22:25 | 阅读:83458 | 评论:0 | 标签:业界 Hangout Slack 攻击 黑客

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词