N

a pewno nie raz postępowaliśmy według następującego schematu: szukamy jakiegoś polecenia systemowego w Internecie, a że jest na tyle długie lub skomplikowane – kopiujemy je i wklejamy bezpośrednio do konsoli naszego systemu. Niestety nie zawsze to, co widzimy jest przez nas tylko kopiowane. Prosty przykład w kodzie HTML:

<p class="codeblock">
<!-- Ukryte polecenia! -->
git clone
<span style="position: absolute; left: -100px; top: -100px">/dev/null; echo -n "FAIL!";
<br>git clone</span>
git://git.kernel.org/pub/scm/utils/test/test.git
</p>

Dla przeglądarki akapit “codeblock” posiada jedynie postać:

git clone git://git.kernel.org/pub/scm/utils/test/test.git

Niestety po skopiowaniu z tego akapitu powyższej linii i wklejeniu jej do terminala w rzeczywistości wykonamy wcześniej polecenia:

git clone /dev/null; echo -n "FAIL!";

Przedstawiony atak bazuje na specjalnie sformatowanym tekście, który powoduje – że użytkownik myśli, że skopiował wyświetlany tekst, który tak na prawdę jest zupełnie inny od tego, co skopiowała do schowka przeglądarka. Powyższy przykład w języku HTML jest tylko prostym Proof Of Concept. Lepsze techniki potrafią wykorzystywać na przykład JavaScript – między innymi po to, aby radzić sobie z różnymi przeglądarkami i degradować się z powrotem do HTML, jeśli zostały użyte takie rozszerzenia, jak: NoScript. Podsumowując: nigdy nie należy kopiować danych z niezaufanych źródeł i wklejać ich jako wykonywalne polecenia. Nigdy przenigdy.

Więcej informacji: What you see is not what you copy