Не копируйте и не вставляйте команды с веб-страниц — вас могут взломать

Исследователь по безопасности Габриэль Фридлендер предупреждает, что веб-страница может скрытно заменять содержимое того, что находится в вашем буфере обмена, и то, что на самом деле будет скопировано

Оффлайн

gmzippo

Звание: Лучший

Администраторы

Сообщений: 7313

Трофеев: 18

Исследователь по безопасности Габриэль Фридлендер предупреждает, что веб-страница может скрытно заменять содержимое того, что находится в вашем буфере обмена, и то, что на самом деле будет скопировано в ваш буфер обмена, может сильно отличаться от того, что вы намеревались скопировать.

Хуже того, без должной осмотрительности разработчик может осознать свою ошибку только после вставки текста, и тогда может быть уже слишком поздно.😓

Магия заключается в коде jаvascript, скрытом за настройкой страницы PoC HTML. Как только вы копируете текст содержащийся в элементе HTML, запускается фрагмент кода, который подменяет буфера обмена вредоносными командами.

«Эта атака очень проста, но также очень вредна» — констатирует Фридлендер

Пользователи Reddit также представили альтернативный пример этого трюка, который даже не требует jаvascript: невидимый текст, созданный с использованием стилей HTML и CSS, который копируется в буфер обмена при копировании видимых частей текста.

☝🏻Еще одна причина никогда слепо не доверять тому, что вы копируете с веб-страницы - лучше сначала вставьте это в текстовый редактор.
badGarri777 нравится это сообщение.

Casino - X. Бонус код "SPIN" - забери 200 бесплатных вращений + 200% на депозит. (реклама 18+ ИНН: 744804718107 erid: 3apb1QrvkfVSDnWQAsMYWe8ymVDFF8vH68fvafBqWtoxN)