Coller JavaScript

Avec l'aide de JavaScript, les navigateurs modernes peuvent lire et écrire dans le presse-papiers de l'utilisateur, c'est-à-dire qu'ils peuvent également le manipuler. La technologie sous-jacente est déjà ancienne, mais ce n'est que récemment que de plus en plus d'attaques (sous le nom de "PasteJacking") circulent sur le réseau qui profitent de cette possibilité pour l'utilisateur inexpérimenté. Une implémentation en JavaScript est banale.


Seul le script suivant est intégré du côté malveillant:

27670b8ba9840e688369822a3fcfb2d9

Si vous copiez du texte à partir d'une telle page, la chaîne indésirable se retrouve toujours dans le presse-papiers (quel que soit le texte copié dans cette implémentation). Au lieu de "commande diabolique", vous pouvez maintenant trouver beaucoup de choses laides. Le tout devient fatal si un saut de ligne en fin de ligne est utilisé pour exécuter immédiatement le code:

27670b8ba9840e688369822a3fcfb2d9

Il est également facile de réinitialiser la sortie de la console afin que l'utilisateur ne remarque pas immédiatement ce qu'il a entré. Par exemple, lors de la copie d'un extrait de code inoffensif, il est envisageable de filmer vos partitions au passage.

27670b8ba9840e688369822a3fcfb2d9

Le presse-papiers peut être manipulé (sous une forme différente) même sans JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Si vous sélectionnez le texte souhaité, dans la dernière version de Firefox (v. 45.0), par exemple, ce n'est pas ce texte mais le texte qui se trouve derrière qui se retrouve dans le presse-papiers.

Les deux méthodes peuvent être essayées en direct ici. Voici la variante JS:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Ainsi que la variante CSS:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Arrière