Szerző: Hlács Ferenc

2020. március 16. 12:55

Súlyos biztonsági rést javított a Slack

A villámgyorsan foltozott bug kiterjedt adatlopások előtt nyithatott volna utat.

Rohamtempóban foltozott egy súlyos hibát platformján a Slack: egy HTTP Request Smuggling sérülékenységről volt szó, amelyet kihasználva lehetőség nyílt (volna) a felhasználók munkamenetekre vonatkozó cookie-jainak megszerzésére, ezzel fiókjaikat is veszélybe sodorva - sőt akár automatizált támadásokat is lehetővé téve.

A hibát a HackerOne bug bounty platformon jelentette Evan Custodio biztonsági szakértő, tavaly novemberben. A szakértő szerint az említett HTTP Request Smuggling bugot kihasználva a felhasználói lekéréseket is el tudta téríteni, ezzel pedig az áldozatot annak tudtán kívül saját kollaborátor kliensébe tudta terelni - innen pedig a titkos munkamenet-azonosító cookie-k is elérhetők voltak. Ezeket egy böngészőbe mentve a szakértő teljes kontrollt szerezhetett a megtámadott fiók fölött, annak minden adatát begyűjthette.

slackhq

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

A helyzetet súlyosbítja, hogy sebezhetőséget felhasználva automatizált támadások is létrehozhatók lettek volna, amelyek automatikusan végigzongorázzák az elérhető felhasználók fiókjait, és minden elérhető adatot ellopnak azokról. Miután a Slack kollaborációs platformja elsősorban vállalati felhasználókat céloz, a kiterjedt adatlopások súlyos károkat okozhattak volna. A sérülékenység a 9.3 pontot kapott a CVSS súlyossági skáláján.

Nem csoda, hogy az ügyben a Slack is villámgyorsan lépett, és a sérülékenységet annak bejelentését követő 24 órán belül kigyomlálta platformjáról, a bugot elcsípő biztonsági kutatónak pedig 6500 dolláros jutalmat adott - a vállalat gyors reakciójáról Custodio is elismerően beszélt.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról