Slack推出的网络钩子可以用来钓鱼用户

AT；外星人实验室的安全研究人员在Slack中发现了一个漏洞，可以用来攻击用户。

今天宣布的这一发现涉及到SlackInnerWe bhooks的使用。作为一种将消息从应用程序发布到Slack的简单方法，传入的Webhooks提供了一个唯一的URL，应用程序可以在其中发送带有消息文本和一些选项的JSON有效负载。

网络钩子打开门，在Slack上发布数据。尽管安全研究人员认为这是一种安全服务，但他们认为这“不完全正确”。

问题从通道覆盖功能开始，通过在JSON有效负载中添加一个“通道”键，可以很容易地覆盖之前指定的webhook目标通道。在某些情况下，渠道发布条款也可以被覆盖，但这不是主要的漏洞。

输入Git中心。尽管web hook URL是秘密且安全的，但研究人员发现，130，989个公开代码结果包含Slack web hook URL，其中大部分包含唯一的web hook值。

有了这些公共网址，SlackWe bhook钓鱼和SlackWe应用程序成为可能。这个过程包括发现泄露的网络钩子；创建一个Slack应用程序，并允许公开安装该应用程序；向找到的钩子发送恶意消息；跟踪安装恶意应用程序的工作区；并使用该应用程序从安装它的工作区提取数据。

有局限性.例如，访问的深度取决于请求者的访问和应用程序初始请求的范围。目前已知使用这种方法在野外窃取Slack数据，但是Slack管理员有办法减轻可能的攻击。

第一个也是最简单的就是涂美白。管理员可以选择管理用户的Slack应用程序，并可以设置应用程序白名单和应用程序批准，以便在安装前审查和批准应用程序。