{"id":1253,"date":"2016-06-01T22:03:19","date_gmt":"2016-06-01T20:03:19","guid":{"rendered":"https:\/\/vielhuber.de\/?p=1253"},"modified":"2016-06-26T00:24:40","modified_gmt":"2016-06-25T22:24:40","slug":"javascript-pastejacking","status":"publish","type":"post","link":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/","title":{"rendered":"JavaScript PasteJacking"},"content":{"rendered":"

Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch manipulieren. Die zugrunde liegende Technik ist bereits ein alter Hut, doch erst seit kurzer Zeit kursieren immer mehr Angriffe (unter dem Namen \u201ePasteJacking\u201c) im Netz, die sich diese M\u00f6glichkeit nachteilig f\u00fcr den unbedarften User zu Nutze machen. Eine Implementierung in JavaScript ist dabei banal.<\/p>\n

<\/p>\n

Auf der b\u00f6sartigen Seite wird lediglich folgendes Script eingebunden:<\/p>\n

27670b8ba9840e688369822a3fcfb2d9<\/p>\n

Kopiert man sich nun beliebigen Text von einer derartigen Seite, so landet stets (bei dieser Implementierung unabh\u00e4ngig vom kopierten Text) der unerw\u00fcnschte String in der Zwischenablage. Statt \"evil command\" kann man sich nun jede Menge unsch\u00f6ner Dinge einfallen lassen. Fatal wird das Ganze, wenn ein Zeilenumbruch am Ende der Zeile zur sofortigen Ausf\u00fchrung des Codes dient:<\/p>\n

27670b8ba9840e688369822a3fcfb2d9<\/p>\n

Auch ist es ein leichtes, die Konsolenausgabe zur\u00fcckzusetzen, sodass der Benutzer gar nicht unmittelbar mitbekommt, was er da eingegeben hat. So ist es beispielsweise denkbar, beim Kopieren eines harmlosen Code-Snippets sich im Vorbeigehen seine Partitionen zu zerschie\u00dfen.<\/p>\n

27670b8ba9840e688369822a3fcfb2d9<\/p>\n

Auch ohne JavaScript kann die Zwischenablage (in anderer Form) manipuliert werden kann:<\/p>\n

27670b8ba9840e688369822a3fcfb2d9<\/p>\n

Markiert man den gew\u00fcnschten Text, so landet beispielsweise im aktuellsten Firefox (v. 45.0) nicht dieser sondern der dahinter liegende Text in der Zwischenablage.<\/p>\n

Beide Methoden kann man hier live ausprobieren. Hier die JS-Variante:<\/p>\n

See the Pen Pastejacking #1<\/a> by David Vielhuber (@vielhuber<\/a>) on CodePen<\/a>.<\/p>\n

Sowie die CSS-Variante:<\/p>\n

See the Pen Pastejacking #2<\/a> by David Vielhuber (@vielhuber<\/a>) on CodePen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch manipulieren. Die zugrunde liegende Technik ist bereits ein alter Hut, doch erst seit kurzer Zeit kursieren immer mehr Angriffe (unter dem Namen \u201ePasteJacking\u201c) im Netz, die sich diese M\u00f6glichkeit nachteilig f\u00fcr den unbedarften User […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"gtbabel_prevent_lngs":"","gtbabel_alt_lng":"","footnotes":""},"categories":[1],"tags":[],"class_list":{"0":"post-1253","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-blog"},"acf":[],"yoast_head":"JavaScript PasteJacking < Vielhuber David<\/title>\n<meta name=\"description\" content=\"Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"JavaScript PasteJacking < Vielhuber David\" \/>\n<meta property=\"og:description\" content=\"Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch\" \/>\n<meta property=\"og:url\" content=\"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/\" \/>\n<meta property=\"og:site_name\" content=\"Vielhuber David\" \/>\n<meta property=\"article:published_time\" content=\"2016-06-01T20:03:19+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2016-06-25T22:24:40+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/vielhuber.de\/wp-content\/uploads\/about.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"700\" \/>\n\t<meta property=\"og:image:height\" content=\"552\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"David\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@vielhuber\" \/>\n<meta name=\"twitter:site\" content=\"@vielhuber\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"David\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"1\u00a0Minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/\"},\"author\":{\"name\":\"David\",\"@id\":\"https:\\\/\\\/vielhuber.de\\\/#\\\/schema\\\/person\\\/64d4ff14713d413ea4d9b210d0c2c6ef\"},\"headline\":\"JavaScript PasteJacking\",\"datePublished\":\"2016-06-01T20:03:19+00:00\",\"dateModified\":\"2016-06-25T22:24:40+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/\"},\"wordCount\":271,\"publisher\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/#\\\/schema\\\/person\\\/64d4ff14713d413ea4d9b210d0c2c6ef\"},\"articleSection\":[\"Blog\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/\",\"url\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/\",\"name\":\"JavaScript PasteJacking < Vielhuber David\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/#website\"},\"datePublished\":\"2016-06-01T20:03:19+00:00\",\"dateModified\":\"2016-06-25T22:24:40+00:00\",\"description\":\"Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/vielhuber.de\\\/blog\\\/javascript-pastejacking\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/vielhuber.de\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"JavaScript PasteJacking\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/vielhuber.de\\\/#website\",\"url\":\"https:\\\/\\\/vielhuber.de\\\/\",\"name\":\"Vielhuber David\",\"description\":\"Full-Stack Developer\",\"publisher\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/#\\\/schema\\\/person\\\/64d4ff14713d413ea4d9b210d0c2c6ef\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/vielhuber.de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\\\/\\\/vielhuber.de\\\/#\\\/schema\\\/person\\\/64d4ff14713d413ea4d9b210d0c2c6ef\",\"name\":\"David\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/vielhuber.de\\\/wp-content\\\/uploads\\\/about.jpg\",\"url\":\"https:\\\/\\\/vielhuber.de\\\/wp-content\\\/uploads\\\/about.jpg\",\"contentUrl\":\"https:\\\/\\\/vielhuber.de\\\/wp-content\\\/uploads\\\/about.jpg\",\"width\":700,\"height\":552,\"caption\":\"David\"},\"logo\":{\"@id\":\"https:\\\/\\\/vielhuber.de\\\/wp-content\\\/uploads\\\/about.jpg\"},\"sameAs\":[\"https:\\\/\\\/x.com\\\/vielhuber\"]}]}<\/script>","yoast_head_json":{"title":"JavaScript PasteJacking < Vielhuber David","description":"Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/","og_locale":"de_DE","og_type":"article","og_title":"JavaScript PasteJacking < Vielhuber David","og_description":"Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch","og_url":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/","og_site_name":"Vielhuber David","article_published_time":"2016-06-01T20:03:19+00:00","article_modified_time":"2016-06-25T22:24:40+00:00","og_image":[{"width":700,"height":552,"url":"https:\/\/vielhuber.de\/wp-content\/uploads\/about.jpg","type":"image\/jpeg"}],"author":"David","twitter_card":"summary_large_image","twitter_creator":"@vielhuber","twitter_site":"@vielhuber","twitter_misc":{"Verfasst von":"David","Gesch\u00e4tzte Lesezeit":"1\u00a0Minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/#article","isPartOf":{"@id":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/"},"author":{"name":"David","@id":"https:\/\/vielhuber.de\/#\/schema\/person\/64d4ff14713d413ea4d9b210d0c2c6ef"},"headline":"JavaScript PasteJacking","datePublished":"2016-06-01T20:03:19+00:00","dateModified":"2016-06-25T22:24:40+00:00","mainEntityOfPage":{"@id":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/"},"wordCount":271,"publisher":{"@id":"https:\/\/vielhuber.de\/#\/schema\/person\/64d4ff14713d413ea4d9b210d0c2c6ef"},"articleSection":["Blog"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/","url":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/","name":"JavaScript PasteJacking < Vielhuber David","isPartOf":{"@id":"https:\/\/vielhuber.de\/#website"},"datePublished":"2016-06-01T20:03:19+00:00","dateModified":"2016-06-25T22:24:40+00:00","description":"Moderne Browser k\u00f6nnen mit Hilfe von JavaScript sowohl lesend als auch schreibend auf die Zwischenablage des Benutzers zugreifen, diese also auch","breadcrumb":{"@id":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/vielhuber.de\/blog\/javascript-pastejacking\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/vielhuber.de\/"},{"@type":"ListItem","position":2,"name":"JavaScript PasteJacking"}]},{"@type":"WebSite","@id":"https:\/\/vielhuber.de\/#website","url":"https:\/\/vielhuber.de\/","name":"Vielhuber David","description":"Full-Stack Developer","publisher":{"@id":"https:\/\/vielhuber.de\/#\/schema\/person\/64d4ff14713d413ea4d9b210d0c2c6ef"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/vielhuber.de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":["Person","Organization"],"@id":"https:\/\/vielhuber.de\/#\/schema\/person\/64d4ff14713d413ea4d9b210d0c2c6ef","name":"David","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/vielhuber.de\/wp-content\/uploads\/about.jpg","url":"https:\/\/vielhuber.de\/wp-content\/uploads\/about.jpg","contentUrl":"https:\/\/vielhuber.de\/wp-content\/uploads\/about.jpg","width":700,"height":552,"caption":"David"},"logo":{"@id":"https:\/\/vielhuber.de\/wp-content\/uploads\/about.jpg"},"sameAs":["https:\/\/x.com\/vielhuber"]}]}},"_links":{"self":[{"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/posts\/1253","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/comments?post=1253"}],"version-history":[{"count":5,"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/posts\/1253\/revisions"}],"predecessor-version":[{"id":1349,"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/posts\/1253\/revisions\/1349"}],"wp:attachment":[{"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/media?parent=1253"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/categories?post=1253"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vielhuber.de\/xh\/wp-json\/wp\/v2\/tags?post=1253"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}