欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

看俺怎样利用某企业的邮箱拿下成百个企业内网权限或内部的账号

来源:本站整理 作者:佚名 时间:2017-09-25 TAG: 我要投稿
 

是以,黑客仍旧可以或许应用我发觉到的这些办法参加Yammer事情组中。
5、我向Kayako和Zendesk(#235139,已表露)的破绽漏洞bug嘉奖筹划提交了SSO绕过破绽漏洞bug。两者都办理了这个成绩,并分离向我发放了1,000美元和750美元的嘉奖。
六、履历教训
1、一旦冲入企业外部,企业的网安性就会大大低落。应用团队中一切人都可以或许拜访的那些资本,入侵攻击者可以或许得到员工贴在上面的暗码、企业机密和客户信息等隐衷信息。
2、咱们必需连续在每一个处所探求网安隐患。这个成绩已经在上百个网站中存在多年,而且许多网安专家天天都邑面临这些网站,但是据我所知,今朝并无其余人发觉到这个成绩。
3、大型企业难以控制员工意向。我与某个大型付出企业的CISO评论辩论过这个成绩,他向我包管说,他们企业确定不存在这个成绩,因为他们的员工不应该经由进程Slack来交换。他们有用来处置这些事件的外部网络。我参加了该企业环球规模内332名员工所创立的Slack频道,证明了他的差错观点。末了我得到了5,000美元的嘉奖。
4、假如你想晓得你可以或许应用本身的公司邮箱参加哪些Slack团队,你可以或许试一下Slack的“查找团队”功效。
七、FAQ
1、若何晓得本身公司能否遭到影响?
假如支撑单子可以或许经由进程电子邮件来创立,而且未履历证邮件地点的用户可以或许拜访支撑单子,那末目的就会遭到该破绽漏洞bug影响。别的,假如大众成绩追踪及响应功效应用特有的@company.com邮箱来将信息间接提交给某个单子、服装论坛t.vhao.net帖子、私家新闻或许用户账户,那末也会收此破绽漏洞bug影响。
2、企业存在破绽漏洞bug后若何修复?
今朝我晓得有几种办法可以或许办理这一成绩。相似AriBnb、LinkedIn和GitHub之类的公司会应用分歧域名的邮箱地点,好比@reply.linkedin.com或许@mail.github.com。这些邮箱无奈用来注册相似Yammer或Slack之类的办事。GitLab依据此倡议更新了他们的阐明文档,以避免在成绩追踪功效中存在这种破绽漏洞bug。
某些公司抉择禁用电子邮件功效、办事流派站点或许单点登录功效,其余公司应用了准确的邮箱验证机制。别的,我不倡议公司应用民间的support@邮箱来注册Twitter、Slack或许Zendesk之类的办事。
3、作为受影响的厂商,我若何阻拦这种破绽漏洞bug?
对付应用客户办事邮箱注册的那些用户,你可以或许采纳额定的网安步伐,但是在许多情况下,这种办法其实不实用也不高效。Facebook Workplace应用了加倍奇妙的办法,他们应用随机天生的邮件地点来发送邮件,好比notification+ajivdw9kpwld@fbworkmail.com,入侵攻击者无奈料中这种地点。在答复我的邮件中,Slack表现他们会采纳这种随机化邮件地点。
4、今朝另有上百个企业遭到影响,你为何颁布这个破绽漏洞bug?
受影响企业数量浩繁,我无奈全体关照到,颁布这个破绽漏洞bug能够存在司法危险,因为某些公司并无请求我供给网安通知布告。我只接洽了多数几个受影响的公司及厂商,这些公司及厂商具有"大众破绽漏洞bug表露筹划。对我来说,如今就颁布详细信息是一个艰巨的决议,因为如许能够间接招致网安危险,但依据汗青履历,咱们晓得囤积暗藏破绽漏洞bug也其实不是个好主意。
5、你的身份?
我叫Inti,住在比利时。从孩时起我就长于捣鬼损坏。本年我22岁,是比利时最大广播电台布鲁塞尔事情的创意编纂。早晨我会以仁慈黑客的身份搞些损坏,Google、Facebook、Microsoft、Yahoo等都感谢过我的休息成果。
6、另有其余成果吗?
我挟制过特朗普的推特,开办了StalkScan.com网站,这个网站可以或许深刻发掘Facebook的人际关系,我也爱好在medium上分享我的研讨成果。
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载