Ĝavoskripto PasteJacking

Modernaj retumiloj povas uzi Ĝavoskripton por legi kaj skribi al la tondejo de la uzanto, kio signifas, ke ili ankaŭ povas manipuli ĝin. La suba teknologio jam estas malnova ĉapelo, sed nur lastatempe pli kaj pli multaj atakoj (sub la nomo "PasteJacking") cirkulas sur la interreto, kiuj profitas ĉi tiun eblon por la nesperta uzanto. Efektivigo en Ĝavoskripto estas banala.


Nur la sekva skripto estas integrita ĉe la malica flanko:

27670b8ba9840e688369822a3fcfb2d9

Se vi kopias ian tekston de tia paĝo, la nedezirata ĉeno ĉiam finiĝas en la tondujo (en ĉi tiu efektivigo sendepende de la kopiita teksto). Anstataŭ "malbona ordono" vi nun povas elpensi multajn malbelajn aferojn. La tuto fariĝas fatala se oni uzas linifinon fine de la linio por tuj ekzekuti la kodon:

27670b8ba9840e688369822a3fcfb2d9

Estas ankaŭ facile reagordi la eliron de la konzolo tiel ke la uzanto ne tuj rimarkas, kion li eniris. Ekzemple, imageblas, ke kopiante sendanĝeran fragmenton de kodo, oni povas pafi siajn vandojn preterpase.

27670b8ba9840e688369822a3fcfb2d9

La tondejo povas esti manipulita (en alia formo) eĉ sen JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Se vi elektas la deziratan tekston, ekzemple en la plej nova Fajrovulpo (v. 45.0), ne ĉi tio, sed la teksto malantaŭ ĝi, finiĝas en la tondujo.

Ambaŭ metodoj povas esti provitaj ĉi tie. Jen la varianto de JS:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Same kiel la CSS-varianto:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Reen