JavaScript PasteJacking

Med hjälp av JavaScript kan moderna webbläsare läsa och skriva till användarens urklipp, dvs. de kan också manipulera det. Den underliggande tekniken är redan gammal hatt, men det är först nyligen som fler och fler attacker (under namnet "PasteJacking") har cirkulerat på Internet, vilket utnyttjar denna möjlighet för den oerfarna användaren. En implementering i JavaScript är banal.


Endast följande skript är integrerat på den skadliga sidan:

27670b8ba9840e688369822a3fcfb2d9

Om du kopierar någon text från en sådan sida hamnar den oönskade strängen alltid i Urklipp (i denna implementering oavsett den kopierade texten). Istället för "onda kommandon" kan du nu komma med massor av fula saker. Hela saken blir dödlig om en radbrytning i slutet av raden används för att köra koden omedelbart:

27670b8ba9840e688369822a3fcfb2d9

Det är också enkelt att återställa konsolutgången så att användaren inte omedelbart märker vad han har angett. Det kan till exempel tänkas att när du kopierar ett ofarligt kodavsnitt kan du skjuta dina partitioner i förbigående.

27670b8ba9840e688369822a3fcfb2d9

Urklipp kan manipuleras (i en annan form) även utan JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Om du till exempel markerar önskad text i den senaste Firefox (v. 45.0) är det inte denna text utan texten bakom den som hamnar i urklipp.

Båda metoderna kan testas live här. Här JS-varianten:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Samt CSS-varianten:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Tillbaka