AT&;T外星人实验室的安全研究人员发现了Slack公司中的一个漏洞，可以用来攻击用户。

这一发现，今天宣布，涉及到利用SlackInnerWe bhooks。 作为一种简单的方式将消息从应用程序发布到Slack，传入Webhooks提供了一个独特的URL，在这个URL中，应用程序可以发送带有消息文本和一些选项的JSON有效负载。

网络钩子打开门，在Slack上发布数据。 尽管安全研究人员认为这是一项安全服务，但他们发现这“并不完全正确”。

问题始于信道覆盖功能，这使得通过在JSON有效载荷中添加一个“信道”键可以很容易地覆盖先前指定的webhook目标信道。 在某些情况下，也可以覆盖频道发布条款，但这不是主要漏洞所在。

进入Git中心。 虽然网络钩子URL是秘密和安全的，但研究人员发现130，989个公共代码结果包含Slack网络钩子URL，其中大多数包含唯一的网络钩子值。

使用这些公共URL，SlackWe bhook网络钓鱼与Slack应用程序成为可能。 这个过程包括发现泄露的网络钩子;创建一个Slack应用程序并允许公共安装应用程序;向发现的钩子发送恶意消息;跟踪安装恶意应用程序的工作区;以及使用该应用程序从安装它的工作区中提取数据。

存在一定的局限性.. 例如，访问的深度取决于请求者访问和应用程序最初请求的范围。 目前已经知道使用这种方法在野外窃取Slack数据，但Slack管理员有办法减轻可能的攻击。

第一个也是最简单的是应用美白。 管理员可以选择管理用户的Slack应用程序，并可以设置应用程序白名单和应用程序批准，以审查和批准应用程序安装前。