رفع اشکال خام اکنون مجاز به تصرف حساب های خودکار خودکار * خرید VPNvip خرید VPN خرید کریو خرید kerio فیلتر شکن خرید فیلترشکن vip vpn

slack_logo "title =" slack_logo "/> </div>
<ul>
<li><strong> نقصی که می تواند تصاحب حساب Slack را خودکار کند ، در حال حاضر برطرف شده و فاش شده است. </strong></li>
<li><strong> این حمله شامل پنج مرحله مشخص است که می تواند توسط یک ربات دلخواه تکرار شود. </strong></li>
<li><strong> Slack مبلغی نسبتاً بزرگ برای این کشف پرداخت كرد ، اما در مقایسه با آنچه بازیگران مخرب می پرداختند ، هنوز هم خیلی كم است. </strong></li>
</ul>
<p> آسیب پذیری در Slack ، پلت فرم محبوب پیام رسانی فوری كه توسط میلیون ها تیم و شركت در اطراف استفاده شده است. جهان ، می توانست یک بازیگر مخرب را قادر کند تا حملات تصاحب حساب و حتی به صورت خودکار فرآیند بهره برداری را انجام دهد.این اشکال توسط Evan Custodio کشف شد ، که به دلیل گزارش مسئولانه ضعف بسیار مهم از طریق بستر HackerOne ، یک پاداش 6500 دلاری دریافت کرد. در تاریخ 14 نوامبر 2019 کشف شد و در مدت زمان 24 ساعت از زمان گزارش برطرف شد.چرا که این حمله شامل چندین مرحله است ، بعید نیست که این اشکال به صورت انفجاری انبوه باشد </p>
<p> به طور خاص ، زنجیره اشکال به شرح زیر است: </p>
<ol>
<li> HTTP از قاچاق CTLE درخواست قاچاق خودكار (سوکت مسموم) را در slackb.com درخواست قاچاق كرد ؛ </li>
<li> درخواست ربودن درخواست قرباني HTTP را درخواست كرد. از GET https: // <URL> HTTP / 1.1 در slackb.com استفاده کنید؛ </li>
<li> درخواست GET https: // <URL> HTTP / 1.1 در سوکت سرور با پس زمینه منجر به تغییر 301 به https: // <URL> با کوکی های شلخته ؛ </li>
<li> کوکی های قربانی را با استفاده از یک سرور همکار به عنوان تعریف شده <URL> در حمله ، سرقت کنید ؛ </li>
<li> مقدار زیادی از کوکی های جلسه d را جمع آوری کنید و هر یک از داده های ممکن کاربر یا سازمان را از قربانی سرقت کنید. </li>
</ol>
<p> نمودار زیر توسط محقق تهیه شده است تا در توضیح چگونگی عملکرد این حمله توضیح دهد: </p>
<figure id=

منبع: HackerOne

این حمله به راحتی می تواند به یک داده عظیم منجر شود. نقض سازمان هایی که از Slack استفاده می کنند. اگر بازیگران مخرب ابتدا آن را کشف کرده بودند ، می توانستند ربات هایی ایجاد کنند که بتوانند نقش پرش به جلسات قربانی را بگیرند و تمام داده ها را به صورت خودکار سرقت کنند. به همین دلیل اسلک خیلی سریع به این اشکال پاسخ داده است ، اگرچه این شرکت شناخته شده است که به طور کلی به گزارشات از این نوع واکنش نشان می دهد. به این آسیب پذیری درجه شدت "9.3" اختصاص داده شد ، و آن را به عنوان "بحرانی" طبقه بندی کرد.

collab_2" width = "696" height = "413" data-srcset = "https://cdn.technadu.com/wp-content /uploads/2020/03/collab_2-1024x608.png 1024w، https://cdn.technadu.com/wp-content/upload s / 2020/03 / collab_2-300x178.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/03/collab_2-768x456.png 768w، https://cdn.technadu.com/ wp-content / uploads / 2020/03 / collab_2-200x119.png 200w، https://cdn.technadu.com/wp-content/uploads/2020/03/collab_2-696x413.png 696w، https: // cdn. technadu.com/wp-content/uploads/2020/03/collab_2-1068x634.png 1068w، https://cdn.technadu.com/wp-content/uploads/2020/03/collab_2-707x420.png 707w، https: //cdn.technadu.com/wp-content/uploads/2020/03/collab_2.png 1445w "size =" (حداکثر عرض: 696px) 100vw ، 696px "/>

<figcaption id=

در حالی که 6500 دلار برای هکری که اولین قدم های خود را بر روی پلتفرم HackerOne می گذرد ، هزینه ای رضایت بخش بود ، بنابراین خیلی ارزان است که بتواند در برابر پیشنهادات جوامع darknet قابل رقابت باشد. اطلاعات در مورد چگونگی سوءاستفاده از آسیب پذیری مانند این می تواند بسیار مهم در دست بازیگران بد قصد باشد و حتی "کارگزاران عیب" کلاه خاکستری نیز مطمئناً مبلغ قابل توجهی را پرداخت می کردند.

در حالی که برنامه هایی مانند HackerOne ما برای شرکت های نرم افزاری ثبت نام شده و کاربران آنها وضعیت را بهتر می کنیم ، ما از لحاظ رقابت بودن هنوز کاملاً در آنجا نیستیم. گزارش های کلاه سفید به جای پاداش های پیش بینی شده هنوز به اخلاق هکرها تکیه می کنند.