JavaScript PasteJacking

A JavaScript segítségével a modern böngészők írhatnak és írhatnak a felhasználó vágólapjára, vagyis manipulálhatják is. Az alaptechnológia már a régi hat, de csak a közelmúltban keringenek egyre több ("PasteJacking" néven futó) támadás a hálózaton, amelyek kihasználják ezt a lehetőséget a gyanútlan felhasználó számára. A JavaScript megvalósítása banális.


Csak a következő szkript van integrálva a rosszindulatú oldalon:

27670b8ba9840e688369822a3fcfb2d9

Ha bármilyen szöveget másol egy ilyen oldalról, a nem kívánt karakterlánc mindig a vágólapra kerül (függetlenül a megvalósítás másolt szövegétől). A "gonosz parancs" helyett most sok csúnya dolgot találhat ki. Az egész halálossá válik, ha a sor végén lévő sortörést használják a kód azonnali végrehajtására:

27670b8ba9840e688369822a3fcfb2d9

Könnyű alaphelyzetbe állítani a konzol kimenetét is, hogy a felhasználó ne vegye észre azonnal, amit beírt. Például elképzelhető, hogy egy ártalmatlan kódrészlet másolásakor a partíciókat haladva lőhetik.

27670b8ba9840e688369822a3fcfb2d9

A vágólap JavaScript nélkül is kezelhető (más formában):

27670b8ba9840e688369822a3fcfb2d9

Ha kiválasztja a kívánt szöveget, akkor például a legújabb Firefoxban (45.0 v.) Például nem ez, hanem a mögötte lévő szöveg kerül a vágólapra.

Mindkét módszer élőben kipróbálható itt. Itt a JS variáns:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Valamint a CSS variáns:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Vissza