У искушењу сте да копирате и залепите команду на мрежи? Размислите.
Од компјутера до мобилних телефона, копирај-пејст је распрострањен свуда. То олакшава живот и штеди вам време јер не морате да куцате дуге команде или сувишне текстове. Међутим, ако нисте довољно пажљиви, можете бити хаковани једноставним копирањем и лепљењем команди на терминалу вашег рачунара.
Хајде да научимо како вас копирање и лепљење може хаковати и шта треба да урадите да то спречите.
Зашто не би требало да копирате и налепите команде
Без обзира да ли сте тек почели да користите командну линију или сте искусни ветеран, можда ћете бити у искушењу да копирате и залепите команде са интернета да бисте уштедели време и обавили стварни посао. Међутим, требало би да будете свесни да злонамерне веб локације заправо представљају оружје за убризгавање злонамерног кода кад год копирате и залепите команде директно у терминал.
Ови злонамерни актери користе различите фронтенд трикове да сакрију злонамерне команде иза безопасног кода.
Команда као судоапт-гет упдате && апт-гет упграде требало би нормално да ажурира ризнице и надогради пакете на Линук систему. Међутим, ако нисте свесни и копирате и залепите ову команду директно у свој терминал, можда несвесно извршавате малвер код са роот привилегијама због судо префикс.
У најгорем случају, ово би могло довести до потпуног преузимања вашег система или чак до напада рансомваре-а. Али, како актери претњи то раде? Како се злонамерне команде могу сакрити иза безопасног кода?
Како функционишу злоупотребе злонамерног кода
Овај експлоатација се може извести помоћу паметно направљеног ЈаваСцрипт-а или чак основног ХТМЛ-а. ЈаваСцрипт има механизам тзв ЕвентЛистенер. Догађаји су радње које се могу десити у претраживачу, као што је клик на дугме, слање обрасца, померање миша, притискање тастера или промена величине прозора.
Тхе ЕвентЛистенер, као што име каже, омогућава вашој веб апликацији да реагује на одређене догађаје изазване радњом корисника. Злонамерне веб странице искоришћавају овај легитиман и користан механизам тако што снимају догађај у којем корисник копира текст и замењују безопасни текст злонамерним кодом.
Ево главног кода за експлоатацију који се користи за прављење демо слике:
