Slackで認定されたURLリンク偽装の脆弱性 Apr 27, 2020 フィッシング詐欺における偽サイトへの誘導では、正規サイトのURLをかたってリンクをクリックさせる手口が後を絶たない。この手口は主にメールや掲示板からの誘導で悪用されるが、グループチャット内でもURLリンクを偽装できれば脅威になると考えた。ビジネスチャットツールとして世界的に利用されているSlackでのURLリンク偽装(#481472)について解説する。 URLリンクの偽装 HTMLでは、ハイパーリンクとして表示するURLと、実際にリンクするURLを個別に設定できる。例えば、以下のHTMLはレンダリングにより https://example.com となる。表示上は example.com へのリンクに見えるが、実際には akaki.io へリンクする。 <a href="https://akaki.io">https
シンジです。個人での利用、会社での利用に問わず、クラウドサービスに登録した自分の情報や普段利用するデータ、誰にも教えたくない秘密情報であったとしても、利用者本人のみが利用できる保護されたものだと思っている人も多いようですが、そんなわけあるか。 クラウドサービスのデータの所有権 所有権とか言い出すと、どの国の法律でどう定義されているから云々みたいな話になります。権利だけで挙げても、著作権や使用権、再利用権など広がる広がる。所有権だけを見て国内民法で見てみると、データは無体物であって民法上の所有権の対象にはならないとか言われる始末なので、いやいやそんなこと言われましても俺のものは俺のものですとか言いたくなるかもしれません。 全部が全部そうなってるとは言いませんが、どんな大手の有名クラウドサービスであろうが多くの場合、「クラウドサービスに上げたデータは、クラウド事業者のもの」です。 Google
Hacking Slack using postMessage and WebSocket-reconnect to steal your precious token TLDR; I was able to create a malicious page that would reconnect your Slack WebSocket to my own WebSocket to steal your private Slack token. Slack fixed the bug in 5 hours (on a Friday) and paid me $3,000 for it. Recently a bug I found in Slack was published on HackerOne and I wanted to explain it, and the method
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く