JavaScript PasteJacking

Dengan bantuan JavaScript, browser modern dapat membaca dan menulis ke clipboard pengguna, yaitu mereka juga dapat memanipulasinya. Teknologi yang mendasarinya sudah lama, tetapi baru belakangan ini semakin banyak serangan (dengan nama "PasteJacking") telah beredar di Internet, yang memanfaatkan kemungkinan ini untuk pengguna yang tidak berpengalaman. Penerapan dalam JavaScript itu dangkal.


Hanya skrip berikut yang terintegrasi di sisi berbahaya:

27670b8ba9840e688369822a3fcfb2d9

Jika Anda menyalin teks apa pun dari halaman seperti itu, string yang tidak diinginkan akan selalu berakhir di papan klip (terlepas dari teks yang disalin dalam implementasi ini). Alih-alih "perintah jahat", Anda sekarang dapat menemukan banyak hal buruk. Semuanya menjadi fatal jika jeda baris di akhir baris digunakan untuk segera mengeksekusi kode:

27670b8ba9840e688369822a3fcfb2d9

Juga mudah untuk mengatur ulang keluaran konsol sehingga pengguna tidak segera memperhatikan apa yang dia masukkan. Misalnya, dapat dibayangkan bahwa saat menyalin cuplikan kode yang tidak berbahaya, Anda dapat menembak partisi Anda secara sepintas.

27670b8ba9840e688369822a3fcfb2d9

Papan klip dapat dimanipulasi (dalam bentuk yang berbeda) bahkan tanpa JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Jika Anda memilih teks yang diinginkan, di Firefox terbaru (v. 45.0), misalnya, bukan teks ini tetapi teks di belakangnya yang berakhir di clipboard.

Kedua metode tersebut dapat dicoba langsung di sini. Di sini varian JS:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Serta varian CSS:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Kembali