forum.opennet.ru

"Использование JavaScript для атаки через манипуляцию с содер..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

"Использование JavaScript для атаки через манипуляцию с содер..."	+/–
Сообщение от opennews (??), 24-Май-16, 11:56
Появление в JavaScript средств (https://developer.mozilla.org/en-US/docs/Web/API/Document/ex...) для копирования и изменения данных в буфере обмена открыло двери для организации (https://github.com/dxa4481/Pastejacking) нового вида атаки по организации выполнения команд при вставке данных в терминал из буфера обмена. В отличие от ранее предложенной атаки (https://www.opennet.me/opennews/art.shtml?num=36619), основанной на размещении невидимого блока "span", новая атака подменяет данные силами JavaScript, отслеживая событие копирования из окна браузера в буфер обмена и через 800 мс после определения нажатия Ctrl+C осуществляя подстановку новых данных в буфер обмена. Метод также предоставляет более простой способ подстановки в буфер обмена спецсимволов и шестнадцатеричных последовательностей (например, "\x1b"), которые могут применяться для атаки (https://security.love/Pastejacking/index2.html) на vim. В демонстрационном примере (https://security.love/Pastejacking) предлагается скопировать в буфер обмена строку "echo not evil", при вставке которой в терминал будет выполнена последовательность: <font color="#461b7e"> echo "evil"\n echo "not evil" </font> Для скрытия лишнего ввода можно использовать команду "clear", например, в данном примере (https://security.love/Pastejacking/index3.html) будет выведено: <font color="#461b7e"> touch ~/.evil clear echo "not evil" </font> URL: https://www.reddit.com/r/netsec/comments/4kr0az/pastejacking.../ Новость: http://www.opennet.me/opennews/art.shtml?num=44481
Ответить \| Правка \| Cообщить модератору

Оглавление

Использование JavaScript для атаки через манипуляцию с содер..., opennews, 24-Май-16, 11:56 [смотреть все]

и чо ниче не понял из новости , Аноним, 24-Май-16, 11:56 (1) //
- Скопировал со страницы sudo apt-get upgrade , а вставил в командную строку rm , Аноним, 24-Май-16, 11:59 (4) //
  - почему в новости это не написать , Аноним, 24-Май-16, 14:00 (23) //
    - Потому что остальным всё и так понятно , Аноним, 24-Май-16, 15:16 (34)
  - либо ты проверяешь команды перед подтверждением, либо не сидишь под рутом , Аноним, 24-Май-16, 15:24 (37) //
    - Желательно то и другое Но если что - перевод строки в буфер так же замечательно, Crazy Alex, 24-Май-16, 15:28 (40)
      - Вставлять в текстовый редактор, проглядывать, затем в консоль , Аноним, 24-Май-16, 15:30 (41)
        
        Попахивает паранойей Вообще ничего не вставлять - смотришь на страничку и тут же, Uri, 24-Май-16, 17:50 (50)
      - а как же подтвердить паролем ведь sudo , Аноним, 24-Май-16, 15:32 (42)
        
        во второй раз судо иногда не спрашивает после первой авторизации судо, около мин, админлоскалхоста, 24-Май-16, 16:51 (46)
        
        когда же народ начнет читать маны Defaults timestamp_timeout 0опять же - , Аноним, 24-Май-16, 17:41 (48)
        
        Почему системные-то Просто копипастит - может стих для любимой в vime хочет ско, 1, 25-Май-16, 10:05 (64)
    - Стереть все свои пользовательские файлы тоже нельзя назвать безопасной процедуро, azure, 25-Май-16, 17:23 (69)
прикольно теперь копирование из онлайн мануалов стало абсолютно небезопасным, Анинимим, 24-Май-16, 11:56 (2) //
- ссылка 8470 5 под статьёй - 2013-го года, так что теперь это уже давно , Клыкастый, 24-Май-16, 12:00 (5) //
  - А если пройти по ссылкам дальше, то можно найти и статью 2008 года http www u, Аноним, 24-Май-16, 20:30 (56) //
    - Об этом раз в год пишут http people zoy org sam filsdepute txt 8212 думает, sage, 25-Май-16, 01:42 (61)
      - Неправда, там есть CSS , Аноним, 27-Май-16, 16:45 (78)
- javascript должен по умолчанию быть отключён Детский сад Об этом твердят уже л, DmA, 26-Май-16, 08:57 (71) //
  - Не спасёт Эта атака может быть проведена на чистои HTML , Аноним, 11-Июн-16, 12:00 (79)
красота какая скоро так вот накопипастить можно чужой ключик на машинку, патч Б, Клыкастый, 24-Май-16, 11:58 (3)
Как забанить доступ к буферу для js , Аноним, 24-Май-16, 12:01 (6) //
- В некоторых кутешных браузерах была такая галочка в настройках как минимум, по у, Аноним, 24-Май-16, 12:20 (12)
- В лисе dom event clipboardevents enabled, НяшМяш, 24-Май-16, 12:36 (14) //
  - Сделал в false, перезапустил Лису 46 0 1 mac os - пример всё равно работает П, Nas_tradamus, 24-Май-16, 14:23 (27) //
    - Некоторые сайты вполне добропорядочные ломаются от этого Правильный вариант - , Аноним, 24-Май-16, 15:25 (39)
      - С носкриптом ломаются не некоторые сайты, а весь интернет , mumu, 25-Май-16, 23:40 (70)
        
        даже этот сайт на отлично работает без всякого javascript Даже у почтовых серве, DmA, 26-Май-16, 08:59 (72)
        
        Зайди для примера хоть на одну социалку, новостной сайт, форум , Аноним, 26-Май-16, 17:19 (74)
        
        ОткрытаяСеть , Аноним, 15-Янв-19, 21:06 (81)
    - Действительно, ни на винде, ни на осиксе не сработало Вот гадство-то , НяшМяш, 24-Май-16, 21:03 (58)
  - 48 бете лисы, увы, не помогло , Genues, 24-Май-16, 14:24 (28)
а на мышебуфер не действует, ясно Заранее вставленные теги продолжают рулить , Аноним, 24-Май-16, 12:02 (7) //
- Точно, с мышебуфером не работает Прекрасно , zomg, 24-Май-16, 12:15 (11)
- это просто пример, реализованный через document addEventListener keydown , , _, 24-Май-16, 12:46 (15) //
  - похоже наврал, _, 24-Май-16, 13:23 (20)
Palemoon 26 0 не могу воспроизвести, это только в новых версиях актуально , Аноним, 24-Май-16, 12:10 (8) //
- Да, только в новых В Firefox 38 не работает, а в Firefox 46 сработало нормально, Аноним, 24-Май-16, 12:11 (9) //
  - Прогресс, однако , Michael Shigorin, 24-Май-16, 12:12 (10)
  - Firefox 46 0 1 не работает , Анонизмус, 24-Май-16, 14:13 (25) //
    - Каюсь, работает Анонизмус писатель, не читатель , Анонизмус, 24-Май-16, 14:16 (26)
  - Вы о чем, ребята , Дегенератор, 24-Май-16, 17:28 (47) //
    - О дегенератах вроде тебя , Аноним, 26-Май-16, 17:20 (75)
Ничего не поделаешь, это JavaScript , Аноним, 24-Май-16, 12:25 (13)
в хроме не пашет, manster, 24-Май-16, 12:52 (16) //
- в лисе тоже, manster, 24-Май-16, 12:53 (17) //
  - Аналогично А кто подвержен тогда , Аноним, 24-Май-16, 13:21 (18)
  - Работает в noscript сначала надо разрешить и копировать не мышей, а с клавиатур, Анонимчег, 24-Май-16, 14:26 (29) //
    - да, через клавиатуру работает, спасибоНу пока получается защита - копировать мыш, manster, 24-Май-16, 14:32 (31)
- code try var successful document execCommand copy , Анонимчег, 24-Май-16, 14:29 (30) //
  - gt оверквотинг удален Copying text command was successful , manster, 24-Май-16, 14:32 (32)
в палемоне с мышебуфером и ноускриптом не работает Когда заработает, напишите н, Аноним, 24-Май-16, 13:22 (19) //
- во wget тоже не работает, Аноним, 24-Май-16, 14:07 (24)
- Напиши тут про PaleMoon когда он лицензию сменит с проприетарной на свободную , Аноним, 24-Май-16, 15:21 (36) //
  - MPL нынче проприетарная лицензия ок, ещё один даун на опеннете, Аноним, 24-Май-16, 19:29 (55)
странно яваскрипт-хейтерков пока почему-то не слышно , Аноним, 24-Май-16, 13:57 (22) //
- Так нам наплевать - у нас JS отключен практически везде, а сама новость абсолю, Crazy Alex, 24-Май-16, 15:16 (35)
- А фанатам разве не все божья роса W W равно Они же искренно считают вэээб техн, Аноним84701, 24-Май-16, 15:48 (43) //
  - всё костыль Но ненавидеть следует только яваскрипт Ишь чегось удумали - в буфе, Аноним, 24-Май-16, 17:49 (49) //
    - Да, только им И только если подразумевается работа только на локальной машине, , Аноним, 25-Май-16, 11:22 (65)
Дык, забыл когда юзал Ctrl-V Ctrl-C, мыш-буфера достаточно А венде тут таки да , Sfinx, 24-Май-16, 14:33 (33) //
- Вот тут и с мышом работает https thejh net misc website-terminal-copy-paste , SysA, 24-Май-16, 18:34 (53) //
  - Дык, пашет Походу пора paste в терминале секьюрить , Sfinx, 24-Май-16, 22:00 (60) //
    - В правильных терминалах уже давно google - rxvt confirm-paste, Денис, 25-Май-16, 06:11 (63)
  - Более того, тут работает безо всякого javascript, потому что сделано через слой , Аноним, 25-Май-16, 14:37 (66)
- http i imgur com czvM61C png, Аноним, 25-Май-16, 05:16 (62)
Открыли Америку Много лет уже существуют сайты, на которых при копировании те, Аноним, 24-Май-16, 15:24 (38)
В фаерфоксе 45 без носкриптов и прочего треша не сработало В консоли document e, Аноним, 24-Май-16, 15:48 (44) //
- У меня FF v46 0, SeaMonkey v2 40 работает , SysA, 24-Май-16, 18:36 (54) //
  - У меня вообще по-интересному работает Один раз Ctrl C нажал , НяшМяш, 24-Май-16, 21:06 (59)
- в 45 лисе на debian sid система зависла после отключения noscript , пришлось на, fleonis, 25-Май-16, 15:48 (67)
в 48 хроме не воспроизвелось линукс , анон, 24-Май-16, 16:48 (45)
Google-oriented programming - , омномномнимус, 24-Май-16, 17:55 (51)
в ff 36 0 1 это действует только при вставке внутри браузера, на терминал не вли, annual slayer, 24-Май-16, 18:28 (52)
Новость стара как мир, как и атака через WPAD Еще с год назад читал статью про , CHERTS, 24-Май-16, 21:02 (57) //
- Новость стара, но азбуку до сих пор печатают Молодёжь ещё не знает, а с другой , DmA, 26-Май-16, 17:01 (73) //
  - Беда в том, что дураков не способен даже собственный опыт научить Не то, что чу, Аноним, 26-Май-16, 17:22 (76) //
    - мягко напомнить им всё же следует, а если не поможет, то залезть к ним на компью, DmA, 26-Май-16, 17:44 (77)
я изначально знал, что давать доступ к копированию через js - очень плохая идея , Аноним, 25-Май-16, 16:18 (68)
И чего В чём проблема А при чём тут яваскрипт Он чё сам по себе это делает М, Аноним, 14-Июн-16, 15:42 (80)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру