JavaScript PasteJacking

JavaScript- ի օգնությամբ ժամանակակից զննարկիչները կարող են կարդալ և գրել օգտատիրոջ clipboard- ին, այսինքն ՝ նրանք նաև կարող են շահարկել այն: Հիմքում ընկած տեխնոլոգիան արդեն հին գլխարկ է, բայց միայն վերջերս է, որ ցանցում ավելի ու ավելի շատ գրոհներ են շրջանառվում («PasteJacking» անվան տակ), որոնք օգտվում են այդ հնարավորությունից անփորձ օգտագործողի համար: JavaScript- ում իրականացումը արգելված է:


Միայն վնասակար կողմում է միավորված միայն հետևյալ սցենարը:

27670b8ba9840e688369822a3fcfb2d9

Եթե ​​նման էջից որևէ տեքստ եք պատճենում, անցանկալի տողը միշտ հայտնվում է բուֆերի մեջ (այս իրականացման մեջ ՝ անկախ պատճենված տեքստից): «Չար հրամանի» փոխարեն այժմ կարող եք շատ տգեղ բաների առաջ գալ: Ամբողջը ճակատագրական է դառնում, եթե տողի վերջում տող կոտրելը ծառայում է կոդի անմիջապես կատարմանը:

27670b8ba9840e688369822a3fcfb2d9

Հեշտ է նաև վերականգնել մխիթարի ելքը, որպեսզի օգտագործողը անմիջապես չնկատի իր մուտքագրածը: Օրինակ, կարելի է պատկերացնել, որ անվնաս ծածկագրի հատված պատճենելիս կարող եք նկարել ձեր բաժիններն անցողիկ:

27670b8ba9840e688369822a3fcfb2d9

Պատկերասրահը կարող է շահարկվել (այլ ձևով) նույնիսկ առանց JavaScript- ի:

27670b8ba9840e688369822a3fcfb2d9

Եթե ​​ընտրեք ցանկալի տեքստը, օրինակ, վերջին Firefox- ում (տ. 45.0), ոչ թե սա է, այլ դրա ետևում գտնվող տեքստը, որն ավարտվում է բուֆերատախտակում:

Երկու մեթոդներն էլ այստեղ կարելի է փորձարկել ուղիղ եթերում: Այստեղ JS տարբերակը:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Ինչպես նաեւ CSS տարբերակը:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Վերադառնալ