OpenNews: Использование JavaScript для атаки через манипуляцию с содержимым буфера обмена

24.05.2016 11:44 Использование JavaScript для атаки через манипуляцию с содержимым буфера обмена

Появление в JavaScript средств для копирования и изменения данных в буфере обмена открыло двери для организации нового вида атаки по подстановке дополнительных команд при вставке данных в терминал из буфера обмена.

В отличие от ранее предложенной атаки, основанной на размещении невидимого блока "span", новая атака подменяет данные силами JavaScript, отслеживая событие копирования из текущего окна браузера в буфер обмена - определив нажатие Ctrl+C, скрипт ожидает 800 мс и осуществляет добавление дополнительных данных в буфер обмена. При этом браузер не запрашивает у пользователя подтверждения операции по изменению содержимого буфера обмена, а копируемая строка в представлении HTML соответствует строке на экране. Метод также предоставляет более простой способ подстановки в буфер обмена спецсимволов и шестнадцатеричных последовательностей (например, "\x1b"), которые могут применяться для атаки на vim.

В демонстрационном примере предлагается скопировать из окна браузера в буфер обмена строку (выделить и нажать Ctrl+C):


   echo "not evil"

при вставке которой в терминал будет выведена совсем иная последовательность:


   echo "evil"\n

Для скрытия лишнего ввода можно использовать команду "clear" или "echo -ne '\033[1F\033[2K'", например, в данном примере будет выполнено:


   touch ~/.evil
   clear
   echo "not evil"

исправить +6 +/–

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: javascript

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, Аноним, 11:56, 24/05/2016 [ответить] [смотреть все]	–13 +/–
и чо ниче не понял из новости ... весь текст скрыт [показать]

2.4, Аноним, 11:59, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+28 +/–
Скопировал со страницы "sudo apt-get upgrade", а вставил в командную строку "rm -rf ~/*\n".

3.23, Аноним, 14:00, 24/05/2016 [^] [ответить] [смотреть все]	–10 +/–
почему в новости это не написать?

4.34, Аноним, 15:16, 24/05/2016 [^] [ответить] [смотреть все]	+12 +/–
Потому что остальным всё и так понятно.

3.37, Аноним, 15:24, 24/05/2016 [^] [ответить] [смотреть все]	–2 +/–
либо ты проверяешь команды перед подтверждением, либо не сидишь под рутом.

4.40, Crazy Alex, 15:28, 24/05/2016 [^] [ответить] [смотреть все]	+3 +/–
Желательно то и другое Но если что - перевод строки в буфер так же замечательно... весь текст скрыт [показать]

5.41, Аноним, 15:30, 24/05/2016 [^] [ответить] [смотреть все]	+2 +/–
Вставлять в текстовый редактор, проглядывать, затем в консоль ... весь текст скрыт [показать]

6.50, Uri, 17:50, 24/05/2016 [^] [ответить] [смотреть все]	+5 +/–
Попахивает паранойей Вообще ничего не вставлять - смотришь на страничку и тут ж... весь текст скрыт [показать]

5.42, Аноним, 15:32, 24/05/2016 [^] [ответить] [смотреть все]	+/–
а как же подтвердить паролем? ведь sudo?

6.46, админлоскалхоста, 16:51, 24/05/2016 [^] [ответить] [смотреть все]	+1 +/–
во второй раз судо иногда не спрашивает после первой авторизации судо, около мин... весь текст скрыт [показать]

7.48, Аноним, 17:41, 24/05/2016 [^] [ответить] [смотреть все]	–2 +/–
когда же народ начнет читать маны Defaults timestamp_timeout 0 опять же ... весь текст скрыт [показать]

8.64, 1, 10:05, 25/05/2016 [^] [ответить] [смотреть все]	–1 +/–
Почему системные-то Просто копипастит - может стих для любимой в vime хочет ск... весь текст скрыт [показать]

4.69, azure, 17:23, 25/05/2016 [^] [ответить] [смотреть все]	+/–
Стереть все свои пользовательские файлы тоже нельзя назвать безопасной процедуро... весь текст скрыт [показать]

1.2, Анинимим, 11:56, 24/05/2016 [ответить] [смотреть все]	+1 +/–
прикольно. теперь копирование из онлайн мануалов стало абсолютно небезопасным

2.5, Клыкастый, 12:00, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
ссылка №5 под статьёй - 2013-го года, так что "теперь" это уже "давно".

3.56, Аноним, 20:30, 24/05/2016 [^] [ответить] [смотреть все]	+1 +/–
А если пройти по ссылкам дальше, то можно найти и статью 2008 года http www u... весь текст скрыт [показать]

4.61, sage, 01:42, 25/05/2016 [^] [ответить] [смотреть все]	+1 +/–
Об этом раз в год пишут http people zoy org sam filsdepute txt 8212 думае... весь текст скрыт [показать]

5.78, Аноним, 16:45, 27/05/2016 [^] [ответить] [смотреть все]	+/–
>>На чистом HTML, между прочим Неправда, там есть CSS.

2.71, DmA, 08:57, 26/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
javascript должен по умолчанию быть отключён Детский сад Об этом твердят уже л... весь текст скрыт [показать] [показать ветку]

3.79, Аноним, 12:00, 11/06/2016 [^] [ответить] [смотреть все]	+/–
Не спасёт Эта атака может быть проведена на чистои HTML ... весь текст скрыт [показать]

1.3, Клыкастый, 11:58, 24/05/2016 [ответить] [смотреть все]	+/–
красота какая. скоро так вот накопипастить можно чужой ключик на машинку, патч Бармина, проксю для браузера и много другой весёлой красоты.

1.6, Аноним, 12:01, 24/05/2016 [ответить] [смотреть все]	+/–
Как забанить доступ к буферу для js?

2.12, Аноним, 12:20, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
В некоторых кутешных браузерах была такая галочка в настройках как минимум, по у... весь текст скрыт [показать] [показать ветку]

2.14, НяшМяш, 12:36, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+5 +/–
В лисе: dom.event.clipboardevents.enabled

3.27, Nas_tradamus, 14:23, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Сделал в false, перезапустил Лису 46 0 1 mac os - пример всё равно работает П... весь текст скрыт [показать]

4.39, Аноним, 15:25, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Некоторые сайты вполне добропорядочные ломаются от этого Правильный вариант -... весь текст скрыт [показать]

5.70, mumu, 23:40, 25/05/2016 [^] [ответить] [смотреть все]	–1 +/–
С носкриптом ломаются не некоторые сайты, а весь интернет.

6.72, DmA, 08:59, 26/05/2016 [^] [ответить] [смотреть все]	+/–
даже этот сайт на отлично работает без всякого javascript Даже у почтовых серве... весь текст скрыт [показать]

7.74, Аноним, 17:19, 26/05/2016 [^] [ответить] [смотреть все]	+/–
Зайди для примера хоть на одну социалку, новостной сайт, форум ... весь текст скрыт [показать]

4.58, НяшМяш, 21:03, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Действительно, ни на винде, ни на осиксе не сработало. Вот гадство-то.

3.28, Genues, 14:24, 24/05/2016 [^] [ответить] [смотреть все]	+/–
48 бете лисы, увы, не помогло.

1.7, Аноним, 12:02, 24/05/2016 [ответить] [смотреть все]	+/–
а на мышебуфер не действует, ясно Заранее вставленные теги продолжают рулить ... весь текст скрыт [показать]

2.11, zomg, 12:15, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Точно, с мышебуфером не работает. Прекрасно :)

2.15, _, 12:46, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
это просто пример, реализованный через document addEventListener keydown , ... весь текст скрыт [показать] [показать ветку]

3.20, _, 13:23, 24/05/2016 [^] [ответить] [смотреть все]	+/–
похоже наврал

1.8, Аноним, 12:10, 24/05/2016 [ответить] [смотреть все]	+1 +/–
Palemoon 26.0 не могу воспроизвести, это только в новых версиях актуально?

2.9, Аноним, 12:11, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
Да, только в новых В Firefox 38 не работает, а в Firefox 46 сработало нормально... весь текст скрыт [показать] [показать ветку]

3.10, Michael Shigorin, 12:12, 24/05/2016 [^] [ответить] [смотреть все]	+7 +/–
> Да, только в новых. В Firefox 38 не работает, а в Firefox > 46 сработало нормально. Прогресс, однако...

3.25, Анонизмус, 14:13, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Firefox 46.0.1 не работает.

4.26, Анонизмус, 14:16, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Каюсь, работает Анонизмус писатель, не читатель ... весь текст скрыт [показать]

3.47, Дегенератор, 17:28, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Вы о чем, ребята?

4.75, Аноним, 17:20, 26/05/2016 [^] [ответить] [смотреть все]	+/–
> Вы о чем, ребята? О дегенератах вроде тебя.

1.13, Аноним, 12:25, 24/05/2016 [ответить] [смотреть все]	+3 +/–
Ничего не поделаешь, это JavaScript...

1.16, manster, 12:52, 24/05/2016 [ответить] [смотреть все]	+3 +/–
в хроме не пашет

2.17, manster, 12:53, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
в лисе тоже

3.18, Аноним, 13:21, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Аналогично. А кто подвержен тогда?

3.29, Анонимчег, 14:26, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Работает в noscript сначала надо разрешить и копировать не мышей, а с клавиатур... весь текст скрыт [показать]

4.31, manster, 14:32, 24/05/2016 [^] [ответить] [смотреть все]	+/–
да, через клавиатуру работает, спасибо Ну пока получается защита - копировать мы... весь текст скрыт [показать]

2.30, Анонимчег, 14:29, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
code try var successful document execCommand copy ... весь текст скрыт [показать] [показать ветку]

3.32, manster, 14:32, 24/05/2016 [^] [ответить] [смотреть все]	+/–
gt оверквотинг удален Copying text command was successful ... весь текст скрыт [показать]

1.19, Аноним, 13:22, 24/05/2016 [ответить] [смотреть все]	+/–
в палемоне с мышебуфером и ноускриптом не работает Когда заработает, напишите н... весь текст скрыт [показать]

2.24, Аноним, 14:07, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
во wget тоже не работает

2.36, Аноним, 15:21, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Напиши тут про PaleMoon когда он лицензию сменит с проприетарной на свободную.

3.55, Аноним, 19:29, 24/05/2016 [^] [ответить] [смотреть все]	+/–
MPL нынче проприетарная лицензия? ок, ещё один даун на опеннете

1.22, Аноним, 13:57, 24/05/2016 [ответить] [смотреть все]	+/–
странно. яваскрипт-хейтерков пока почему-то не слышно...

2.35, Crazy Alex, 15:16, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
Так нам наплевать - у нас JS отключен практически везде, а сама новость абсолю... весь текст скрыт [показать] [показать ветку]

2.43, Аноним84701, 15:48, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
А фанатам разве не все божья роса W W равно Они же искренно считают вэээб техн... весь текст скрыт [показать] [показать ветку]

3.49, Аноним, 17:49, 24/05/2016 [^] [ответить] [смотреть все]	+1 +/–
всё костыль Но ненавидеть следует только яваскрипт Ишь чегось удумали - в буфе... весь текст скрыт [показать]

4.65, Аноним, 11:22, 25/05/2016 [^] [ответить] [смотреть все]	+/–
Да, только им И только если подразумевается работа только на локальной машине, ... весь текст скрыт [показать]

1.33, Sfinx, 14:33, 24/05/2016 [ответить] [смотреть все]	–5 +/–
Дык, забыл когда юзал Ctrl-V Ctrl-C, мыш-буфера достаточно А венде тут таки да ... весь текст скрыт [показать]

2.53, SysA, 18:34, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+2 +/–
Вот тут и с мышом работает https thejh net misc website-terminal-copy-paste ... весь текст скрыт [показать] [показать ветку]

3.60, Sfinx, 22:00, 24/05/2016 [^] [ответить] [смотреть все]	+/–
Дык, пашет. Походу пора paste() в терминале секьюрить.

4.63, Денис, 06:11, 25/05/2016 [^] [ответить] [смотреть все]	+/–
В "правильных" терминалах уже давно :) google -> rxvt confirm-paste

3.66, Аноним, 14:37, 25/05/2016 [^] [ответить] [смотреть все]	+/–
Более того, тут работает безо всякого javascript, потому что сделано через слой ... весь текст скрыт [показать]

2.62, Аноним, 05:16, 25/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+1 +/–
> А венде http://i.imgur.com/czvM61C.png

1.38, Аноним, 15:24, 24/05/2016 [ответить] [смотреть все]	+7 +/–
Открыли Америку... Много лет уже существуют сайты, на которых при копировании текста в буфер добавляется ссылка на сайт. И только сейчас кто-то догадался, что можно не только ссылки, но и консольные команды добавлять?

1.44, Аноним, 15:48, 24/05/2016 [ответить] [смотреть все]	+/–
В фаерфоксе 45 без носкриптов и прочего треша не сработало В консоли document ... весь текст скрыт [показать]

2.54, SysA, 18:36, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
У меня FF v46 0, SeaMonkey v2 40 работает ... весь текст скрыт [показать] [показать ветку]

3.59, НяшМяш, 21:06, 24/05/2016 [^] [ответить] [смотреть все]	+/–
У меня вообще по-интересному работает Один раз Ctrl C нажал ... весь текст скрыт [показать]

2.67, fleonis, 15:48, 25/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
в 45 лисе на debian sid система зависла (после отключения noscript), пришлось нажать alt+sysreq и reb

1.45, анон, 16:48, 24/05/2016 [ответить] [смотреть все]	+/–
в 48 хроме не воспроизвелось. линукс.

1.51, омномномнимус, 17:55, 24/05/2016 [ответить] [смотреть все]	–1 +/–
Google-oriented programming :-)

1.52, annual slayer, 18:28, 24/05/2016 [ответить] [смотреть все]	+/–
в ff 36.0.1 это действует только при вставке внутри браузера, на терминал не влияет надо отправить багрепорт

1.57, CHERTS, 21:02, 24/05/2016 [ответить] [смотреть все]	+/–
Новость стара как мир, как и атака через WPAD. Еще с год назад читал статью про манипуляцию с буфером обмена.

2.73, DmA, 17:01, 26/05/2016 [^] [ответить] [смотреть все] [показать ветку]	+/–
Новость стара, но азбуку до сих пор печатают! Молодёжь ещё не знает, а с другой стороны склероз наступает :) Повторенье -мать учения.

3.76, Аноним, 17:22, 26/05/2016 [^] [ответить] [смотреть все]	+/–
Беда в том, что дураков не способен даже собственный опыт научить Не то, что чу... весь текст скрыт [показать]

4.77, DmA, 17:44, 26/05/2016 [^] [ответить] [смотреть все]

+/–

>> Новость стара, но азбуку до сих пор печатают! Молодёжь ещё не знает,
>> а с другой стороны склероз наступает :) Повторенье -мать учения.
> Беда в том, что дураков не способен даже собственный опыт научить. Не
> то, что чужой.
> Так было и так, к сожалению, будет.

мягко напомнить им всё же следует, а если не поможет, то залезть к ним на компьютер и зашифровать все файлы, а потом потребовать выкуп за разшифровку, раз не понимают по хорошему.

1.68, Аноним, 16:18, 25/05/2016 [ответить] [смотреть все]	+/–
я изначально знал, что давать доступ к копированию через js - очень плохая идея ... весь текст скрыт [показать]

1.80, Аноним, 15:42, 14/06/2016 [ответить] [смотреть все]	+/–
И чего В чём проблема А при чём тут яваскрипт Он чё сам по себе это делает М... весь текст скрыт [показать]

Добавить комментарий