JavaScript PasteJacking

بمساعدة JavaScript ، يمكن للمتصفحات الحديثة القراءة والكتابة في حافظة المستخدم ، أي يمكنها أيضًا معالجتها. التكنولوجيا الأساسية هي بالفعل قبعة قديمة ، ولكن في الآونة الأخيرة فقط تم تداول المزيد والمزيد من الهجمات (تحت اسم "PasteJacking") على الشبكة التي تستفيد من هذا الاحتمال للمستخدم عديم الخبرة. التنفيذ في JavaScript عادي.


تم دمج النص التالي فقط في الجانب الضار:

27670b8ba9840e688369822a3fcfb2d9

إذا قمت بنسخ أي نص من هذه الصفحة ، فستنتهي السلسلة غير المرغوب فيها دائمًا في الحافظة (بغض النظر عن النص المنسوخ في هذا التنفيذ). بدلاً من "الأمر الشرير" يمكنك الآن أن تأتي بالكثير من الأشياء القبيحة. يصبح الأمر برمته قاتلاً إذا تم استخدام فاصل سطر في نهاية السطر لتنفيذ الكود على الفور:

27670b8ba9840e688369822a3fcfb2d9

من السهل أيضًا إعادة تعيين إخراج وحدة التحكم بحيث لا يلاحظ المستخدم على الفور ما أدخله. على سبيل المثال ، من المتصور أنه عند نسخ مقتطف رمز غير ضار ، يمكنك إطلاق النار على أقسامك بشكل عابر.

27670b8ba9840e688369822a3fcfb2d9

يمكن معالجة الحافظة (في شكل مختلف) حتى بدون JavaScript:

27670b8ba9840e688369822a3fcfb2d9

إذا قمت بتحديد النص المطلوب ، على سبيل المثال في أحدث إصدار من Firefox (الإصدار 45.0) ، فلن يكون هذا النص ولكن النص الموجود خلفه ينتهي في الحافظة.

يمكن تجربة كلتا الطريقتين مباشرة هنا. هنا متغير JS:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

بالإضافة إلى متغير CSS:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

عودة