forum.opennet.ru

Составление сообщения

Исходное сообщение

"Использование JavaScript для атаки через манипуляцию с содер..."
Отправлено opennews, 24-Май-16 11:56

Появление в JavaScript средств (https://developer.mozilla.org/en-US/docs/Web/API/Document/ex...) для копирования и изменения данных в буфере обмена открыло двери для организации (https://github.com/dxa4481/Pastejacking) нового вида атаки по организации выполнения команд при вставке данных в терминал из буфера обмена.
В отличие от ранее предложенной атаки (https://www.opennet.ru/opennews/art.shtml?num=36619), основанной на размещении невидимого блока "span", новая атака подменяет данные силами JavaScript, отслеживая событие копирования из окна браузера в буфер обмена и через 800 мс после определения нажатия Ctrl+C осуществляя подстановку новых данных в буфер обмена. Метод также предоставляет более простой способ подстановки в буфер обмена спецсимволов и шестнадцатеричных последовательностей (например, "\x1b"), которые могут применяться для атаки (https://security.love/Pastejacking/index2.html) на vim.

В демонстрационном примере (https://security.love/Pastejacking) предлагается скопировать в буфер обмена строку "echo not evil", при вставке которой в терминал будет выполнена последовательность:


 echo "evil"\n
 echo "not evil"

Для скрытия лишнего ввода можно использовать команду "clear", например, в данном примере (https://security.love/Pastejacking/index3.html) будет выведено:


 touch ~/.evil
 clear
 echo "not evil"


URL: https://www.reddit.com/r/netsec/comments/4kr0az/pastejacking.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=44481

Исходное сообщение
"Использование JavaScript для атаки через манипуляцию с содер..." Отправлено opennews, 24-Май-16 11:56
Появление в JavaScript средств (https://developer.mozilla.org/en-US/docs/Web/API/Document/ex...) для копирования и изменения данных в буфере обмена открыло двери для организации (https://github.com/dxa4481/Pastejacking) нового вида атаки по организации выполнения команд при вставке данных в терминал из буфера обмена. В отличие от ранее предложенной атаки (https://www.opennet.ru/opennews/art.shtml?num=36619), основанной на размещении невидимого блока "span", новая атака подменяет данные силами JavaScript, отслеживая событие копирования из окна браузера в буфер обмена и через 800 мс после определения нажатия Ctrl+C осуществляя подстановку новых данных в буфер обмена. Метод также предоставляет более простой способ подстановки в буфер обмена спецсимволов и шестнадцатеричных последовательностей (например, "\x1b"), которые могут применяться для атаки (https://security.love/Pastejacking/index2.html) на vim. В демонстрационном примере (https://security.love/Pastejacking) предлагается скопировать в буфер обмена строку "echo not evil", при вставке которой в терминал будет выполнена последовательность: <font color="#461b7e"> echo "evil"\n echo "not evil" </font> Для скрытия лишнего ввода можно использовать команду "clear", например, в данном примере (https://security.love/Pastejacking/index3.html) будет выведено: <font color="#461b7e"> touch ~/.evil clear echo "not evil" </font> URL: https://www.reddit.com/r/netsec/comments/4kr0az/pastejacking.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=44481

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Появление в JavaScript средств (https://developer.mozilla.org/en-US/docs/Web/API/Document/execCommand) 
> для копирования и изменения данных в буфере обмена открыло двери для 
> организации (https://github.com/dxa4481/Pastejacking) нового вида атаки по организации 
> выполнения команд при вставке данных в терминал из буфера обмена.

> В отличие от ранее предложенной атаки (https://www.opennet.ru/opennews/art.shtml?num=36619), 
> основанной на размещении невидимого блока "span", новая атака подменяет данные силами 
> JavaScript, отслеживая событие копирования из окна браузера в буфер обмена и 
> через 800 мс после определения нажатия Ctrl+C осуществляя подстановку новых данных 
> в буфер обмена. Метод также предоставляет более простой способ подстановки в 
> буфер обмена спецсимволов и шестнадцатеричных последовательностей (например, "\x1b"), 
> которые  могут применяться для атаки (https://security.love/Pastejacking/index2.html) 
> на vim.

> В демонстрационном примере (https://security.love/Pastejacking) предлагается скопировать 
> в буфер обмена строку "echo not evil", при вставке которой в 
> терминал будет выполнена последовательность:

> 
> echo "evil"\n 
> echo "not evil" 
>

> Для скрытия лишнего ввода можно использовать команду "clear", например, в данном примере 
> (https://security.love/Pastejacking/index3.html) будет выведено:

> 
> touch ~/.evil 
> clear 
> echo "not evil" 
>

> URL: https://www.reddit.com/r/netsec/comments/4kr0az/pastejacking_using_javascript_to_override_your/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=44481

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру