JavaScript PasteJacking

A JavaScript segítségével a modern böngészők olvashatnak és írhatnak a felhasználó vágólapjára, vagyis manipulálhatják is. A mögöttes technológia a régi kalap, de csak a közelmúltban terjedtek el egyre több ("PasteJacking" néven futó) támadás a hálózaton, amelyek kihasználják ezt a lehetőséget a tapasztalatlan felhasználó számára. A JavaScript megvalósítása banális.


Csak a következő szkript van integrálva a rosszindulatú oldalon:

27670b8ba9840e688369822a3fcfb2d9

Ha bármilyen szöveget másol egy ilyen oldalról, a nem kívánt karakterlánc mindig a vágólapra kerül (ebben a megvalósításban, a másolt szövegtől függetlenül). A "gonosz parancs" helyett most sok csúnya dolgot találhat ki. Az egész halálossá válik, ha a sor végén lévő sortörést használják a kód azonnali végrehajtására:

27670b8ba9840e688369822a3fcfb2d9

Könnyű alaphelyzetbe állítani a konzol kimenetét is, hogy a felhasználó ne vegye észre azonnal, amit beírt. Például elképzelhető, hogy ártalmatlan kódrészlet másolásakor a partíciókat haladva lőhetik.

27670b8ba9840e688369822a3fcfb2d9

A vágólap JavaScript nélkül is manipulálható (más formában):

27670b8ba9840e688369822a3fcfb2d9

Ha kiválasztja a kívánt szöveget, például a legújabb Firefox-ban (45.0 v.), Akkor nem ez, hanem a mögötte lévő szöveg kerül a vágólapra.

Mindkét módszer élőben kipróbálható itt. Itt a JS variáns:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Valamint a CSS variáns:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Vissza