JavaScript PasteJacking

Ved hjælp af JavaScript kan moderne browsere læse og skrive til brugerens udklipsholder, dvs. de kan også manipulere det. Den underliggende teknologi er allerede en gammel hat, men det er først for nylig, at flere og flere angreb (under navnet "PasteJacking") har cirkuleret på Internettet, hvilket udnytter denne mulighed for den uerfarne bruger. En implementering i JavaScript er banal.


Kun følgende script er integreret på den ondsindede side:

27670b8ba9840e688369822a3fcfb2d9

Hvis du kopierer tekst fra en sådan side, ender den uønskede streng altid i udklipsholderen (uanset den kopierede tekst i denne implementering). I stedet for "ond kommando" kan du nu komme med mange grimme ting. Det hele bliver fatalt, hvis et linjeskift i slutningen af ​​linjen bruges til straks at udføre koden:

27670b8ba9840e688369822a3fcfb2d9

Det er også let at nulstille konsoludgangen, så brugeren ikke straks bemærker, hvad han har indtastet. For eksempel kan det tænkes, at når man kopierer et uskadeligt kodestykke, kan man skyde ens partitioner i forbifarten.

27670b8ba9840e688369822a3fcfb2d9

Udklipsholderen kan manipuleres (i en anden form) selv uden JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Hvis du f.eks. Vælger den ønskede tekst i den nyeste Firefox (v. 45.0), er det ikke denne tekst, men teksten bag den, der ender i udklipsholderen.

Begge metoder kan afprøves live her. Her JS-varianten:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Samt CSS-varianten:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Tilbage