forum.opennet.ru

Составление сообщения

Исходное сообщение

"Концепция атаки по подмене копируемого в терминал текста с с..."
Отправлено opennews, 08-Апр-13 10:12

Опубликована (http://thejh.net/misc/website-terminal-copy-paste) интересная концепция тривиальной, но эффективной, атаки, рассчитанной на излишнее доверие к увиденных при копировании в терминал примеров команд с различных сайтов. Используя невидимый, но помещаемый в буфер обмена при копировании, блок "span", можно вместо невинного текста, организовать выполнение в терминале произвольных команд.
<style>
    .codeblock {
      display: inline-block;
      margin-left: 50px;
    }
  </style>

Например, после копирования в окно терминала строки "git clone <span style="position: absolute;  left: -100px; top: -100px">/dev/null; clear; echo "Hello"
git clone</span> git://git.kernel.org/pub/scm/utils/kup/kup.git" на самом деле будет выполнена команда "git clone /dev/null; clear; echo Hello" и отображён текст "git clone git://git.kernel.org/pub/scm/utils/kup/kup.git".
URL: http://www.reddit.com/r/netsec/comments/1bv359/dont_copypast.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=36619

Исходное сообщение
"Концепция атаки по подмене копируемого в терминал текста с с..." Отправлено opennews, 08-Апр-13 10:12
Опубликована (http://thejh.net/misc/website-terminal-copy-paste) интересная концепция тривиальной, но эффективной, атаки, рассчитанной на излишнее доверие к увиденных при копировании в терминал примеров команд с различных сайтов. Используя невидимый, но помещаемый в буфер обмена при копировании, блок "span", можно вместо невинного текста, организовать выполнение в терминале произвольных команд. <style> .codeblock { display: inline-block; margin-left: 50px; } </style> Например, после копирования в окно терминала строки "git clone <span style="position: absolute; left: -100px; top: -100px">/dev/null; clear; echo "Hello" git clone</span> git://git.kernel.org/pub/scm/utils/kup/kup.git" на самом деле будет выполнена команда "git clone /dev/null; clear; echo Hello" и отображён текст "git clone git://git.kernel.org/pub/scm/utils/kup/kup.git". URL: http://www.reddit.com/r/netsec/comments/1bv359/dont_copypast.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=36619

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликована (http://thejh.net/misc/website-terminal-copy-paste) интересная концепция 
> тривиальной, но эффективной, атаки, рассчитанной на излишнее доверие к увиденных при 
> копировании в терминал примеров команд с различных сайтов. Используя невидимый, но 
> помещаемый в буфер обмена при копировании, блок "span", можно вместо невинного 
> текста, организовать выполнение в терминале произвольных команд.

>  <style> 
>     .codeblock { 
>       display: inline-block; 
>       margin-left: 50px; 
>     } 
>   </style>

> Например, после копирования в окно терминала строки "git clone <span style="position: absolute; 
>  left: -100px; top: -100px">/dev/null; clear; echo "Hello" 
> git clone</span> git://git.kernel.org/pub/scm/utils/kup/kup.git" на самом деле будет 
> выполнена команда "git clone /dev/null; clear; echo Hello" и отображён текст 
> "git clone git://git.kernel.org/pub/scm/utils/kup/kup.git".

> URL: http://www.reddit.com/r/netsec/comments/1bv359/dont_copypaste_from_website_to_terminal_demo/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=36619

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру