哪個網路使用者可以不複製貼上呢?當然沒有。它自計算誕生以來就一直存在,我們在網上沖浪時經常使用它。然而,正如安全專家 Dylan Ayrey 剛才所表明的那樣,這項活動並非完全沒有風險。他發現了一種名為 PastJacking 的方法,可以在網路使用者的電腦上執行命令,而使用者卻沒有意識到。
Javascript語言可讓您在使用「Ctrl-C」複製一段文字後修改剪貼簿的內容。因此,可以用命令列替換它們,如果將剪貼簿的內容貼到終端機視窗甚至文字編輯器中,命令列將自動執行。
為了證明這一點,Dylan Ayrey 創建了兩個利用範例並在他的部落格上進行了演示。在第一個案例,系統會提示使用者複製並貼上「echo “evil」”行,但他們實際返回的是下面的程式碼,當貼上到 Linux 或 Mac OS 檔案上的 shell 中時,會在顯示命令之前清除螢幕使用者應該複製。突然間,這個人除了火之外什麼也看不見。
觸摸~/.evil
清除
回應“不作惡”
這第二個例子類似,但這次使用文字編輯器巨集命令。當 Mac 或 Linux 用戶將剪貼簿的內容貼到極客們熟知的 Vim 軟體中時,復原的程式碼會顯示 Mac 或 Linux 用戶的密碼。
呼應“邪惡”
x1b:!cat /etc/passwd
我們可以清楚地看到這一點:這些攻擊的目標並不是普通的網路用戶,而是那些習慣於處理命令列和一些特殊工具的人。保護自己,很簡單。只需在瀏覽器中停用Javascript即可,但這仍然有點煩人。另一種解決方案是將剪貼簿的內容複製並貼上到基本文字編輯器中,而無需巨集命令。此外,請注意,某些命令解釋器(例如 Mac 上的 iTerm 或 Windows 上的 Cmder)會在文字包含可能未經使用者批准而執行命令的回車符時產生警報。
CSS 操作
這並不是駭客第一次研究複製和貼上。三年前,Jann Horn 提出了一種使用 CSS 樣式表隱藏網頁上文字的方法。在一篇部落格文章中,他創建了一個用於複製和貼上的範例程式碼行。但實際上,它包含完全位於鏡頭外的整個部分。同樣,解決方案是首先將剪貼簿的內容貼到基本編輯器中。
資料來源:
