Slack – dostał się do głównego panelu admina i zgarnął $9000 w ramach bounty

Ciekawy opis przełamania kilku zabezpieczeń w domenie slack.com (w tym możliwość resetu haseł innym użytkownikom).

Najpierw prosta sprawa – udało się znaleźć dostęp do zabezpieczonego URL-a /server-status: wystarczyło użyć dodatkowych czterech slashy:

http://…slack.com/////server-status

Ciekawe, ale niewiele dało. Dalej autor odkrycia namierzył pewne URL-e w panelu administracyjnym (dostępnego dla pracowników Slacka) i okazało się… że do części zasobów była możliwość dostania się bez logowania używając tricku z czterema slashami:

The Slack employees have access to a backend admin panel called „mission control”. In the mission control panel authorized people are able to read lots of meta data related to Slack user and Slack workspace by passing an „id” to the correspondingly controller.

Na koniec można było resetować hasła dowolnemu userowi (wystarczyło znać id):

Besides that it was identified that an attacker would be enabled to reset the password of any user by guessing their „id” and passing a request to the associated „reset” controller in the mission control panel.

–ms