LINUX.ORG.RU

Не копируйте shell из браузера!

 , ,


1

1

Когда вы видите команду оболочки в Интернете, не копируйте ее в свой терминал.

Современные API буфера обмена позволяют веб-сайту тривиально перезаписывать то, что вы помещаете в буфер обмена, без подтверждения или разрешения пользователя.

Обратите внимание, что вам даже не нужно нажимать ENTER в терминале после вставки, чтобы сработал эксплойт. Завершающая команду новая строка делает это за вас!

Подробности

Перемещено Shaman007 из security


Подменяет только selection clipboard, primary(это который по средней кнопке) копирует нормально

Dark_SavanT ★★★★★
()

Кек, а когда-то эти API просто не работали в линуксовых браузерах.

anonymous
()

Завершающая команду новая строка делает это за вас!

в свежих версиях макоси с zsh – не делает :)

waker ★★★★★
()
Ответ на: комментарий от waker

В некоторых линуксовых эмуляторах терминала тоже стало появляться окошко запросом подтверждения, если вставляется текст с переводом строки. В XFCE теперь так, например.

i-rinat ★★★★★
()

Когда вы видите команду оболочки в Интернете, не копируйте ее в свой терминал!

ШОК! Предупредите пожилых родственников!!!111

Alve ★★★★★
()

Не воспроизводится. Что нужно сделать, чтобы ваш вирус работал и у меня?

mord0d ★★★★★
()

Вот это новость! Не будут больше так делать xD

TalkingMudcrab
()

Хороший способ социальной инженерии против юзеров самой свободной системы в мире, спс. Приберегу для своих пентестов в будущем)

imanesku
()

Прекрасно, но ни по ссылке ни здесь не написано как отключить сию чудесную функцию навсегда.

d_a ★★★★★
()

В lilyterm всегда выводится предупреждение и предлагается выкинуть переводы строк.

wandrien ★★
()
Ответ на: комментарий от WitcherGeralt

Не суйте пальцы в розетку!

Всегда недоумевал, как люди это делают? Можно видеоурок?

anonymous
()

У меня воспроизвелось.
Devuan Beowulf, браузер firefox-esr/now 68.12.0esr-1~deb10u1 amd64

torvn77 ★★★★★
()

В нас пропал дух авантюризма...

zolden ★★★★★
()
Ответ на: комментарий от X512

В Обероне/acme такой трюк не пройдёт.

Потому что ими никто не пользуется?

Атаки чаще всего нацелены на широко распространённые конфигурации, а не на широкий спектр малораспространённых систем.

i-rinat ★★★★★
()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от i-rinat

Потому что ими никто не пользуется?

Потому что там команды автоматически не исполняются после символа перевода строки. Команды можно писать в любом текстовом поле и надо запускать явно (средняя кнопка мыши).

X512 ★★★★★
()

Ну разумеется. Браузеры же не предоставляют пользователю возможность отключать произвольные ненужные JavaScript эвенты, функции и методы, типа copy, unload, obj.clipboardData.setData() и пр.

Так-то вопрос вообще яйца выеденного не стоит.

Stanson ★★★★★
()

Хорошо, что выделение текста и последующая его вставка по Shift-Ins или колёсику этому не поддается. Не помню, когда вообще последний раз пользовался именно буфером обмена не на макоси.

Princesska ★★★★
()
Ответ на: комментарий от RazrFalcon

из тех, кто называет себя серьезным проектом, разве что докер ещё вспоминается.

vedowi6419
()
Ответ на: комментарий от i-rinat

В некоторых линуксовых эмуляторах терминала тоже стало появляться окошко запросом подтверждения, если вставляется текст с переводом строки. В XFCE теперь так, например.

bash научился это ограничивать лет 5 назад: https://unix.stackexchange.com/questions/202732/prevent-multi-line-paste-in-bash

question4 ★★★★★
()

Лол, кек, чебурек. КО в шоке!

erfea ★★★★★
()

Ребзь, слегка офтоп. Херли у меня растровые шрифты в браузере не работают, так и должно быть?

anonymous
()
Ответ на: комментарий от X512

запускать (средняя кнопка мыши).

И эти люди еще жалуются на интерфейсы.

wandrien ★★
()
Ответ на: комментарий от anonymous

Ты аноним или где? Какие растровые шрифты?! Тьфу на них.

anonymous
()

На лоре одна школота чтоли осталась. Эта новость из 2006.

anonymous
()

Если я правильно помню, в firefox как раз на этот случай еще 10 лет назад рекомендовали поставить
dom.event.clipboardevents.enabled = false

Khnazile ★★★★★
()
Ответ на: комментарий от i-rinat

Читаю про всякое такое и думаю, что в случае тагетированной атаки у жертвы нет шансов выстоять, если только это не серьёзная структура с ресурсами или спец с навыками ну очень и очень выше среднего.

anonymous
()
Ответ на: комментарий от AVRS

Я не уверен, что таким образом можно перевод строки спрятать так, чтобы курсор при выделении не прыгал туда-сюда. Но в любом случае, при копировании полезно сначала вставить в текстовый редактор, и уже оттуда копировать в консоль.

Ну и в идеале не лениться и набирать команду самостоятельно.

Khnazile ★★★★★
()
Последнее исправление: Khnazile (всего исправлений: 2)
Ответ на: комментарий от Khnazile

Но в любом случае, при копировании полезно сначала вставить в текстовый редактор, и уже оттуда копировать в консоль.

В Bash для этого есть Ctrl-x Ctrl-e, но надо не забывать.

AVRS ★★
()
Последнее исправление: AVRS (всего исправлений: 1)

Шокирующая информация 😯

fornlr ★★★★★
()

Завершающая команду новая строка делает это за вас!

для баша set enable-bracketed-paste on в ~/.inputrc и проблема решена, в zsh проблема решена по дефолту.

suxin
()
Ответ на: комментарий от anonymous

сделай сам, что как не линуксойд

anonymous
()
Ответ на: комментарий от X512

Команды можно писать в любом текстовом поле и надо запускать явно (средняя кнопка мыши).

Какая жесть! Не удивительно, что это чудо на взлетело.

seiken ★★★★★
()

Это ещё что, существующие API позволяют браузеру без ведома пользователя нарисовать на экране голую бабу.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от gremlin_the_red

Это ещё что, существующие API позволяют браузеру без ведома пользователя нарисовать на экране голую бабу.

А есть ссылка на подобный эксплоит? Хочу проверить что не фейк.

EXL ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.