蓝色星晨|网络安全研究员发现Slack应用致命漏洞，只获1750美元赏金对于不少独立网络安全研究员或者白帽黑

对于不少独立网络安全研究员或者白帽黑客来说，找出各种软件中的漏洞、回报给它们所属的公司从而得到赏金是他们可以赚钱的最道德方法。在一些知名的BUG回报平台如HackerOne上，赏金水平甚至最高可达100万美元。赏金水平可以去到这么高也是正常的，因为这么高的赏金也意味着极为严重的漏洞，而这些漏洞一旦被不法分子利用起来，那么企业损失的可就不止几百万了。
不过，最近有网络安全研究员向Slack这款面向工作团队的聊天群组应用呈报了一个致命的远程代码执行漏洞，这家股值200亿的公司却只给了这位仁兄1750美元的赏金，惹来了业界不少的反响。
这个漏洞在CvSS严重性指数中介于9和10之间，影响在Mac、Windows以及Linux上的Slack4.4版桌面版应用，涉及到XSS攻击以及HTML注入。
发现这个漏洞、用户名为oskarsv表示，任何应用内重新定向或者开始式重新定向、HTML或者JavaScript注入都可以让任意代码在Slack桌面版应用上执行。而根据公开出来的技术剖析，攻击者可以透过重写Slack的“env”功能，以BrowserWindow来创建一个通道，然后执行任意的JavaScript代码，攻击者甚至可以藉此来控制目标系统。
更为致命的是，这个漏洞中的payload是可以被改成蠕虫式的，意味着它们会在连接同一个网络的计算机中自动传播。
而oskarsv发现了这样一个致命的漏洞，却只得到了1750美元的赏金。诚然Slack公开的最高赏金水平的确是这个数目，但是这个数额对于这么严重的漏洞明显是远远不够的，业界也有不少人替oskarsv抱不平。
Slack其后在给Mashable的回应中表示:
“我们的漏洞赏金计划对于维持Slack的安全是至关重要的。我们也很认可安全业界以及开发者社群对此的贡献，并且会继续审视赏金的水平来确保他们为消费者带来的价值可以有所回报。 ”
现在Slack已经把像这次的远程代码执行漏洞的最高赏金提升至5000美元，不过对于oskarsv来说这已经太迟了。
【蓝色星晨|网络安全研究员发现Slack应用致命漏洞，只获1750美元赏金】的确，如果赏金的力度不够吸引的话，那么一个稍为没那么道德的黑客或者就会把这个漏洞卖给那些出价更高的对象了。