JavaScript PasteJacking

Cu ajutorul JavaScript-ului, browserele moderne pot citi și scrie în clipboard-ul utilizatorului, adică îl pot manipula. Tehnologia de bază este o pălărie veche, dar abia recent au circulat tot mai multe atacuri (sub numele de „PasteJacking”) pe rețea care profită de această posibilitate pentru utilizatorul neexperimentat. O implementare în JavaScript este banală.


Numai următorul script este integrat pe partea rău intenționată:

27670b8ba9840e688369822a3fcfb2d9

Dacă copiați orice text dintr-o astfel de pagină, șirul nedorit va ajunge întotdeauna în clipboard (indiferent de textul copiat în această implementare). În loc de „poruncă malefică” acum puteți veni cu o mulțime de lucruri urâte. Întregul lucru devine fatal dacă se utilizează o întrerupere de linie la sfârșitul liniei pentru a executa imediat codul:

27670b8ba9840e688369822a3fcfb2d9

De asemenea, este ușor să resetați ieșirea consolei, astfel încât utilizatorul să nu observe imediat ce a introdus. De exemplu, este de conceput ca atunci când copiați un fragment de cod inofensiv, puteți să vă împărțiți partițiile în trecere.

27670b8ba9840e688369822a3fcfb2d9

Clipboard-ul poate fi manipulat (într-o altă formă) chiar și fără JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Dacă selectați textul dorit, de exemplu în cel mai recent Firefox (v. 45.0), acesta nu textul din spatele său ajunge în clipboard.

Ambele metode pot fi încercate live aici. Aici varianta JS:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

La fel și varianta CSS:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Înapoi