The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Использование JavaScript для атаки через манипуляцию с содер..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от opennews (??), 24-Май-16, 11:56 
Появление в JavaScript средств (https://developer.mozilla.org/en-US/docs/Web/API/Document/ex...) для копирования и изменения данных в буфере обмена открыло двери для организации (https://github.com/dxa4481/Pastejacking) нового вида атаки по организации выполнения команд при вставке данных в терминал из буфера обмена.

В отличие от ранее предложенной атаки (https://www.opennet.dev/opennews/art.shtml?num=36619), основанной на размещении невидимого блока "span", новая атака подменяет данные силами JavaScript, отслеживая событие копирования из окна браузера в буфер обмена и через 800 мс после определения нажатия Ctrl+C осуществляя подстановку новых данных в буфер обмена. Метод также предоставляет более простой способ подстановки в буфер обмена спецсимволов и шестнадцатеричных последовательностей (например, "\x1b"), которые  могут применяться для атаки (https://security.love/Pastejacking/index2.html) на vim.


В демонстрационном примере (https://security.love/Pastejacking) предлагается скопировать в буфер обмена строку "echo not evil", при вставке которой в терминал будет выполнена последовательность:


<font color="#461b7e">
   echo "evil"\n
   echo "not evil"
</font>

Для скрытия лишнего ввода можно использовать команду "clear", например, в данном примере (https://security.love/Pastejacking/index3.html) будет выведено:


<font color="#461b7e">
   touch ~/.evil
   clear
   echo "not evil"
</font>


URL: https://www.reddit.com/r/netsec/comments/4kr0az/pastejacking.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=44481

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Использование JavaScript для атаки через манипуляцию с содер..."  –13 +/
Сообщение от Аноним (-), 24-Май-16, 11:56 
>отслеживая событие копирования из окна браузера в буфер обмена и через 800 мс после определения нажатия Ctrl+C осуществляя подстановку новых данных в буфер обмена

и чо?
ниче не понял из новости.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Использование JavaScript для атаки через манипуляцию с содер..."  +28 +/
Сообщение от Аноним (-), 24-Май-16, 11:59 
Скопировал со страницы "sudo apt-get upgrade", а вставил в командную строку "rm -rf ~/*\n".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Использование JavaScript для атаки через манипуляцию с содер..."  –10 +/
Сообщение от Аноним (-), 24-Май-16, 14:00 
почему в новости это не написать?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "Использование JavaScript для атаки через манипуляцию с содер..."  +12 +/
Сообщение от Аноним (-), 24-Май-16, 15:16 
Потому что остальным всё и так понятно.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Использование JavaScript для атаки через манипуляцию с содер..."  –2 +/
Сообщение от Аноним (-), 24-Май-16, 15:24 
либо ты проверяешь команды перед подтверждением, либо не сидишь под рутом.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

40. "Использование JavaScript для атаки через манипуляцию с содер..."  +3 +/
Сообщение от Crazy Alex (ok), 24-Май-16, 15:28 
Желательно то и другое. Но если что - перевод строки в буфер так же замечательно ложится, как и всё остальное. Вставил - и пошло исполнение сразу.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "Использование JavaScript для атаки через манипуляцию с содер..."  +2 +/
Сообщение от Аноним (-), 24-Май-16, 15:30 
> Желательно то и другое. Но если что - перевод строки в буфер
> так же замечательно ложится, как и всё остальное. Вставил - и
> пошло исполнение сразу.

Вставлять в текстовый редактор, проглядывать, затем в консоль.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Использование JavaScript для атаки через манипуляцию с содер..."  +5 +/
Сообщение от Uri (??), 24-Май-16, 17:50 
Попахивает паранойей.

Вообще ничего не вставлять - смотришь на страничку и тут же сам в терминале набиваешь.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

42. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 15:32 
а как же подтвердить паролем? ведь sudo?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

46. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от админлоскалхостаemail (?), 24-Май-16, 16:51 
во второй раз судо иногда не спрашивает(после первой авторизации судо, около минуты есть возможность использовать судо без пароля)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "Использование JavaScript для атаки через манипуляцию с содер..."  –2 +/
Сообщение от Аноним (-), 24-Май-16, 17:41 
когда же народ начнет читать маны?
Defaults        timestamp_timeout=0

опять же - это линукс, и если пользователь настроил чтобы sudo не спрашивала пароль каждый раз и при этом копипастит (с левых?) сайтов СИСТЕМНЫЕ команды, то это полностью проблемы пользователя...

как отписался ниже комментатор - такое поведение уже давно, а волновать стало только сейчас админов локалхоста.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

64. "Использование JavaScript для атаки через манипуляцию с содер..."  –1 +/
Сообщение от 1 (??), 25-Май-16, 10:05 
Почему системные-то ?

Просто копипастит - может стих для любимой в vime хочет скопипастить - а там ему system() во все поля.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

69. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от azure (ok), 25-Май-16, 17:23 
Стереть все свои пользовательские файлы тоже нельзя назвать безопасной процедурой.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

2. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от Анинимим (?), 24-Май-16, 11:56 
прикольно. теперь копирование из онлайн мануалов стало абсолютно небезопасным
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Клыкастый (ok), 24-Май-16, 12:00 
ссылка №5 под статьёй - 2013-го года, так что "теперь" это уже "давно".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

56. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от Аноним (-), 24-Май-16, 20:30 
А если пройти по ссылкам дальше, то можно найти и статью 2008 года: http://www.ush.it/team/ascii/hack-tricks_253C_CCC2008/wysinw...

Не удивлюсь, если об этом писали и до 2008.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

61. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от sage (??), 25-Май-16, 01:42 
Об этом раз в год пишут.

http://people.zoy.org/~sam/filsdepute.txt — думаете, это txt, да? Скопируйте и вставьте текст. 2013 год. На чистом HTML, между прочим, без Javascript.

https://thejh.net/misc/website-terminal-copy-paste — еще один вариант.

http://www.ush.it/team/ascii/hack-tricks_253C_CCC2008/wysinw... — за 2008 год.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

78. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 27-Май-16, 16:45 
>>На чистом HTML, между прочим

Неправда, там есть CSS.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

71. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от DmA (??), 26-Май-16, 08:57 
javascript должен по умолчанию быть отключён! Детский сад! Об этом твердят уже лет пятнадцать, политика многих корпораций предписывает отключать javascript уже давно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

79. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 11-Июн-16, 12:00 
> javascript должен по умолчанию быть отключён! Детский сад! Об этом твердят уже
> лет пятнадцать, политика многих корпораций предписывает отключать javascript уже давно.

Не спасёт. Эта атака может быть проведена на чистои HTML.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

3. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Клыкастый (ok), 24-Май-16, 11:58 
красота какая. скоро так вот накопипастить можно чужой ключик на машинку, патч Бармина, проксю для браузера и много другой весёлой красоты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 12:01 
Как забанить доступ к буферу для js?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 12:20 
В некоторых кутешных браузерах была такая галочка в настройках как минимум, по умолчанию снятая.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Использование JavaScript для атаки через манипуляцию с содер..."  +5 +/
Сообщение от НяшМяш (ok), 24-Май-16, 12:36 
В лисе: dom.event.clipboardevents.enabled
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Nas_tradamus (ok), 24-Май-16, 14:23 
Сделал в false, перезапустил Лису 46.0.1 (mac os) - пример всё равно работает. Печальо как-то.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

39. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 15:25 
Некоторые сайты (вполне добропорядочные) ломаются от этого.
Правильный вариант - NoScript.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

70. "Использование JavaScript для атаки через манипуляцию с содер..."  –2 +/
Сообщение от mumu (??), 25-Май-16, 23:40 
С носкриптом ломаются не некоторые сайты, а весь интернет.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

72. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от DmA (??), 26-Май-16, 08:59 
> С носкриптом ломаются не некоторые сайты, а весь интернет.

даже этот сайт на отлично работает без всякого javascript. Даже у почтовых серверов есть вариант без javascript. Так что не врите!

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

74. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 26-Май-16, 17:19 
>> С носкриптом ломаются не некоторые сайты, а весь интернет.
> даже этот сайт на отлично работает без всякого javascript. Даже у почтовых
> серверов есть вариант без javascript. Так что не врите!

Зайди для примера хоть на одну социалку, новостной сайт, форум.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

81. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (81), 15-Янв-19, 21:06 
ОткрытаяСеть ?
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

58. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от НяшМяш (ok), 24-Май-16, 21:03 
Действительно, ни на винде, ни на осиксе не сработало. Вот гадство-то.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Genues (?), 24-Май-16, 14:24 
48 бете лисы, увы, не помогло.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

7. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 12:02 
>после определения нажатия Ctrl+C

а на мышебуфер не действует, ясно. Заранее вставленные теги продолжают рулить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от zomg (?), 24-Май-16, 12:15 
Точно, с мышебуфером не работает. Прекрасно :)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от _ (??), 24-Май-16, 12:46 
это просто пример, реализованный через document.addEventListener('keydown', ...),
демонстрирующий изменение буфера из javascript от нажатий клавиш.
Очевидно, изменить буфер из javascript можно когда угодно (даже независимо от действий пользователя).
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от _ (??), 24-Май-16, 13:23 
похоже наврал
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

8. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от Аноним (-), 24-Май-16, 12:10 
Palemoon 26.0 не могу воспроизвести, это только в новых версиях актуально?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от Аноним (-), 24-Май-16, 12:11 
> Palemoon 26.0 не могу воспроизвести, это только в новых версиях актуально?

Да, только в новых. В Firefox 38 не работает, а в Firefox 46 сработало нормально.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Использование JavaScript для атаки через манипуляцию с содер..."  +7 +/
Сообщение от Michael Shigorinemail (ok), 24-Май-16, 12:12 
> Да, только в новых. В Firefox 38 не работает, а в Firefox
> 46 сработало нормально.

Прогресс, однако...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

25. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Анонизмус (?), 24-Май-16, 14:13 
Firefox 46.0.1 не работает.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Анонизмус (?), 24-Май-16, 14:16 
> Firefox 46.0.1 не работает.

Каюсь, работает.
Анонизмус писатель, не читатель.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

47. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Дегенератор (?), 24-Май-16, 17:28 
Вы о чем, ребята?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

75. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 26-Май-16, 17:20 
> Вы о чем, ребята?

О дегенератах вроде тебя.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

13. "Использование JavaScript для атаки через манипуляцию с содер..."  +3 +/
Сообщение от Аноним (-), 24-Май-16, 12:25 
Ничего не поделаешь, это JavaScript...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Использование JavaScript для атаки через манипуляцию с содер..."  +3 +/
Сообщение от manster (ok), 24-Май-16, 12:52 
в хроме не пашет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от manster (ok), 24-Май-16, 12:53 
в лисе тоже
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 13:21 
Аналогично. А кто подвержен тогда?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Анонимчег (?), 24-Май-16, 14:26 
Работает. в noscript сначала надо разрешить и копировать не мышей, а с клавиатуры.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от manster (ok), 24-Май-16, 14:32 
да, через клавиатуру работает, спасибо
Ну пока получается защита - копировать мышкой или проверять содержимое буфера перед вставкой ...
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Анонимчег (?), 24-Май-16, 14:29 
> в хроме не пашет 


   try {
                var successful = document.execCommand('copy');
                var msg = successful ? 'successful' : 'unsuccessful';
                console.log('Copying text command was ' + msg);
              } catch (err) {
                console.log('Oops, unable to copy');
              }

А что в консоли у хрома, если не секрет?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

32. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от manster (ok), 24-Май-16, 14:32 
>[оверквотинг удален]
>            
>     console.log('Copying text command was ' + msg);
>            
>   } catch (err) {
>            
>     console.log('Oops, unable to copy');
>            
>   }
>
> А что в консоли у хрома, если не секрет?

"Copying text command was successful"

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

19. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 13:22 
в палемоне с мышебуфером и ноускриптом не работает. Когда заработает, напишите новость
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Использование JavaScript для атаки через манипуляцию с содер..."  +2 +/
Сообщение от Аноним (-), 24-Май-16, 14:07 
во wget тоже не работает
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 15:21 
Напиши тут про PaleMoon когда он лицензию сменит с проприетарной на свободную.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

55. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 19:29 
MPL нынче проприетарная лицензия? ок, ещё один даун на опеннете
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

22. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 13:57 
странно. яваскрипт-хейтерков пока почему-то не слышно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Использование JavaScript для атаки через манипуляцию с содер..."  +2 +/
Сообщение от Crazy Alex (ok), 24-Май-16, 15:16 
Так нам наплевать - у нас JS отключен практически везде, а сама "новость" абсолютно тривиальна и ожидаема.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

43. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним84701 (?), 24-Май-16, 15:48 
> странно. яваскрипт-хейтерков пока почему-то не слышно...

А фанатам разве не все божья роса^W^W равно? Они же искренно считают "вэээб технулогии" абсолютом гениальности, а не историческим нагромождением костылей, подпорок, картона и изоленты …


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

49. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от Аноним (-), 24-Май-16, 17:49 
всё костыль. Но ненавидеть следует только яваскрипт. Ишь чегось удумали - в буфер обмена лезть. Туда только сишникам и плюсовикам можно!
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

65. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (65), 25-Май-16, 11:22 
Да, только им. И только если подразумевается работа только на локальной машине, в идеале.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

33. "Использование JavaScript для атаки через манипуляцию с содер..."  –5 +/
Сообщение от Sfinx (ok), 24-Май-16, 14:33 
Дык, забыл когда юзал Ctrl-V/Ctrl-C, мыш-буфера достаточно. А венде тут таки да капец ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Использование JavaScript для атаки через манипуляцию с содер..."  +2 +/
Сообщение от SysA (?), 24-Май-16, 18:34 
> Дык, забыл когда юзал Ctrl-V/Ctrl-C, мыш-буфера достаточно. А венде тут таки да
> капец ;)

Вот тут и с мышом работает: https://thejh.net/misc/website-terminal-copy-paste ! :)


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

60. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Sfinx (ok), 24-Май-16, 22:00 
Дык, пашет. Походу пора paste() в терминале секьюрить.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

63. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Денисemail (??), 25-Май-16, 06:11 
В "правильных" терминалах уже давно :)

google -> rxvt confirm-paste

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

66. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 25-Май-16, 14:37 
Более того, тут работает безо всякого javascript, потому что сделано через слой css.

Спасибо за полезный каммент.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

62. "Использование JavaScript для атаки через манипуляцию с содер..."  +1 +/
Сообщение от Аноним (-), 25-Май-16, 05:16 
> А венде

http://i.imgur.com/czvM61C.png

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Использование JavaScript для атаки через манипуляцию с содер..."  +7 +/
Сообщение от Аноним (-), 24-Май-16, 15:24 
Открыли Америку... Много лет уже существуют сайты, на которых при копировании текста в буфер добавляется ссылка на сайт. И только сейчас кто-то догадался, что можно не только ссылки, но и консольные команды добавлять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 24-Май-16, 15:48 
В фаерфоксе 45 без носкриптов и прочего треша не сработало. В консоли:

document.execCommand('cut'/'copy') was denied because it was not called from inside a short running user-generated event handler.

В хромиуме 48 воспроизвелось.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от SysA (?), 24-Май-16, 18:36 
> В фаерфоксе 45 без носкриптов и прочего треша не сработало. В консоли:
> document.execCommand('cut'/'copy') was denied because it was not called from inside a short
> running user-generated event handler.
> В хромиуме 48 воспроизвелось.

У меня FF v46.0, SeaMonkey v2.40 работает! :(

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

59. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от НяшМяш (ok), 24-Май-16, 21:06 
У меня вообще по-интересному работает. Один раз Ctrl+C нажал:

> Copying text command was unsuccessful Pastejacking:57:17
> Copying text command was successful Pastejacking:57:17
> В выполнении document.execCommand('cut'/'copy') было отказано, так как оно не было вызвано изнутри короткоживущего обработчика события, сгенерированного пользователем.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

67. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от fleonis (ok), 25-Май-16, 15:48 
в 45 лисе на debian sid система зависла (после отключения noscript), пришлось нажать alt+sysreq и reb
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

45. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от анон (?), 24-Май-16, 16:48 
в 48 хроме не воспроизвелось. линукс.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Использование JavaScript для атаки через манипуляцию с содер..."  –1 +/
Сообщение от омномномнимус (?), 24-Май-16, 17:55 
Google-oriented programming :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от annual slayer (?), 24-Май-16, 18:28 
в ff 36.0.1 это действует только при вставке внутри браузера, на терминал не влияет

надо отправить багрепорт

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от CHERTSemail (??), 24-Май-16, 21:02 
Новость стара как мир, как и атака через WPAD. Еще с год назад читал статью про манипуляцию с буфером обмена.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от DmA (??), 26-Май-16, 17:01 
Новость стара, но азбуку до сих пор печатают! Молодёжь ещё не знает, а с другой стороны склероз наступает :) Повторенье -мать учения.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

76. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 26-Май-16, 17:22 
> Новость стара, но азбуку до сих пор печатают! Молодёжь ещё не знает,
> а с другой стороны склероз наступает :) Повторенье -мать учения.

Беда в том, что дураков не способен даже собственный опыт научить. Не то, что чужой.

Так было и так, к сожалению, будет.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

77. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от DmA (??), 26-Май-16, 17:44 
>> Новость стара, но азбуку до сих пор печатают! Молодёжь ещё не знает,
>> а с другой стороны склероз наступает :) Повторенье -мать учения.
> Беда в том, что дураков не способен даже собственный опыт научить. Не
> то, что чужой.
> Так было и так, к сожалению, будет.

мягко напомнить им всё же следует, а если не поможет, то залезть к ним на компьютер и зашифровать все файлы, а потом потребовать выкуп за разшифровку, раз не понимают по хорошему.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

68. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 25-Май-16, 16:18 
я изначально знал, что давать доступ к копированию через js - очень плохая идея. раньше это было закрыто мозилловским нестандартизированным апи + обязательной подписью js у мозиллы, то теперь это стало стандартом и без всяких разрешений.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Использование JavaScript для атаки через манипуляцию с содер..."  +/
Сообщение от Аноним (-), 14-Июн-16, 15:42 
И чего? В чём проблема? А при чём тут яваскрипт? Он чё сам по себе это делает? Маразматорий, честно. С такой логикой вообще ВСЁ надо поотключать и вообще не пользоваться никакими программами, они ведь опасность потенциальную несут. Страдаете х*йнёй! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру