LINUX.ORG.RU

Не копируйте shell из браузера!

 , ,


1

1

Когда вы видите команду оболочки в Интернете, не копируйте ее в свой терминал.

Современные API буфера обмена позволяют веб-сайту тривиально перезаписывать то, что вы помещаете в буфер обмена, без подтверждения или разрешения пользователя.

Обратите внимание, что вам даже не нужно нажимать ENTER в терминале после вставки, чтобы сработал эксплойт. Завершающая команду новая строка делает это за вас!

Подробности

Перемещено Shaman007 из security

Ответ на: комментарий от waker

В некоторых линуксовых эмуляторах терминала тоже стало появляться окошко запросом подтверждения, если вставляется текст с переводом строки. В XFCE теперь так, например.

i-rinat ★★★★★ ()

Когда вы видите команду оболочки в Интернете, не копируйте ее в свой терминал!

ШОК! Предупредите пожилых родственников!!!111

Alve ★★★★★ ()
Ответ на: комментарий от X512

В Обероне/acme такой трюк не пройдёт.

Потому что ими никто не пользуется?

Атаки чаще всего нацелены на широко распространённые конфигурации, а не на широкий спектр малораспространённых систем.

i-rinat ★★★★★ ()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от i-rinat

Потому что ими никто не пользуется?

Потому что там команды автоматически не исполняются после символа перевода строки. Команды можно писать в любом текстовом поле и надо запускать явно (средняя кнопка мыши).

X512 ★★ ()

Ну разумеется. Браузеры же не предоставляют пользователю возможность отключать произвольные ненужные JavaScript эвенты, функции и методы, типа copy, unload, obj.clipboardData.setData() и пр.

Так-то вопрос вообще яйца выеденного не стоит.

Stanson ★★★★★ ()

Хорошо, что выделение текста и последующая его вставка по Shift-Ins или колёсику этому не поддается. Не помню, когда вообще последний раз пользовался именно буфером обмена не на макоси.

Princesska ★★★ ()
Ответ на: комментарий от i-rinat

В некоторых линуксовых эмуляторах терминала тоже стало появляться окошко запросом подтверждения, если вставляется текст с переводом строки. В XFCE теперь так, например.

bash научился это ограничивать лет 5 назад: https://unix.stackexchange.com/questions/202732/prevent-multi-line-paste-in-bash

question4 ★★★★★ ()
Ответ на: комментарий от i-rinat

Читаю про всякое такое и думаю, что в случае тагетированной атаки у жертвы нет шансов выстоять, если только это не серьёзная структура с ресурсами или спец с навыками ну очень и очень выше среднего.

anonymous ()
Ответ на: комментарий от AVRS

Я не уверен, что таким образом можно перевод строки спрятать так, чтобы курсор при выделении не прыгал туда-сюда. Но в любом случае, при копировании полезно сначала вставить в текстовый редактор, и уже оттуда копировать в консоль.

Ну и в идеале не лениться и набирать команду самостоятельно.

Khnazile ★★★★★ ()
Последнее исправление: Khnazile (всего исправлений: 2)
Ответ на: комментарий от Khnazile

Но в любом случае, при копировании полезно сначала вставить в текстовый редактор, и уже оттуда копировать в консоль.

В Bash для этого есть Ctrl-x Ctrl-e, но надо не забывать.

AVRS ★★ ()
Последнее исправление: AVRS (всего исправлений: 1)

Завершающая команду новая строка делает это за вас!

для баша set enable-bracketed-paste on в ~/.inputrc и проблема решена, в zsh проблема решена по дефолту.

suxin ()
Ответ на: комментарий от gremlin_the_red

Это ещё что, существующие API позволяют браузеру без ведома пользователя нарисовать на экране голую бабу.

А есть ссылка на подобный эксплоит? Хочу проверить что не фейк.

EXL ★★★★★ ()