Pastejacking

WBOY
WBOYOriginal
2016-06-24 11:17:011153Durchsuche

这种攻击被称之为 粘贴劫持 ,他的概念验证攻击原理与旧版CSS漏洞利用一致,但略有不同。

Ayrey解释称,不同点在于事件后文本可以被复制,事件后也可以复制在短定时器上,并且易于复制十六进制字符至剪贴板,其可以用于开发VIM。

他还表示, Java让此类攻击难以识别且难以中止。

与CSS相较,Java功能更强大且更全能,这类攻击就体现无遗。CSS要求用户必须复制-粘贴整个恶意文本,而Java更具欺骗性。

用户甚至不必选择整个恶意文本,一个字符就够。理论上讲,攻击者可以添加恶意粘贴劫持Java代码至整个页面,并且当用户在控制台内粘贴任何内容,他们可能就潜伏在你背后偷偷摸摸运行命令。

Ayrey甚至提供了演示视频,展示攻击者运行恶意代码、清除控制台并附加用户复制的代码的过程,让普通网民认为并无异常。

如果与技术支持页面或钓鱼邮件有关联,此攻击也许会带来非常严重的后果。用户可能认为他们正复制正常的文本至控制台,然而事实上,他们正中了恶意攻击者的圈套。

因为终端命令会自动执行,用户甚至不必按下Enter键便可执行恶意代码,CTRL+V足矣。

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn