Slack'te CSS Injection Açığı
Slack'in özel oluşturulan temalarında bulunan açık, css keylogger kullanılmasına izin veriyor.
Slack, kullanıcıların chat datalarının sızdırılmasına yol açabilecek bir güvenlik açığını ödüllendirdi. Slack'in özel oluşturulan temalarında bulunan açık css keylogger kullanılmasına izin veriyor.
Siber güvenlik araştırmacısı Matt Langlois, daha çok takım içi mesajlaşma uygulaması olarak kullanılan Slack'te kullanıcıların tuş basışlarının kaydedilmesini sağlayan CSS Injection açığı buldu.
Kullanıcı Slack üzerinde keylogger bulunan özel temalardan birini kullandığı taktirde, bu açıktan yararlanan bir hacker tarafından tuş basışları kaydedilebilir. Bulunan güvenlik açığı cross site yöntemiyle beraber css keylogger kullanır.
Slack'in HackerOne platformu üzerinden bulunan bu buga yaptığı ödeme ise 500 dolar.
Kaynak: The Daily Swig
Yorumlar