Какво е Pastejacking? Защо не трябва да копирате паста от мрежата?
Най-лесният метод за получаване на текст и изображения от уебсайт е да го изберете, да го копирате с помощта на CTRL+C и след това да го поставите с помощта на CTRL+V . Ами ако поставеният материал не е това, което сте копирали от уебсайта? Със сигурност ще копирате и поставите отново и резултатите може да са същите. Рисковано е и ще говорим защо.
Бърз пример е, че копирате команда от уебсайт и я поставяте в конзолата. Оказва се, че командата е променена и това уврежда вашите данни. Нещо не е наред с начина, по който копирате и поставяте? Или е нещо злонамерено? Тази статия говори за това какво е Pastejacking – изкуството да променяте това, което копирате от уеб страници.
Какво е Pastejacking
Почти всички браузъри позволяват на уебсайтовете да изпълняват команди на компютрите на потребителите. Тази функция може да позволи на злонамерени уебсайтове да превземат клипборда на компютрите ви. Тоест, когато копирате нещо и го поставите в клипборда си, уебсайтът може да изпълнява една или повече команди с помощта на вашия браузър. Методът може да се използва за промяна на съдържанието на клипборда . Въпреки че може да не е много опасно, ако просто копирате в Notepad или Word и т.н., може да е проблем за вашия компютър, ако поставите нещо директно в командния ред(Command Prompt) .
Уебсайтовете изпълняват команда(и), когато нещо конкретно е направено от потребителя – например при натискане на конкретен клавиш или щракване с десния бутон на мишката. Когато натиснете CTRL+C на клавиатурата си, той задейства командния режим на уебсайта. След малко изчакване, да речем 800 ms, той поставя нещо злонамерено във вашия клипборд. Изчакването е да ви позволим да използвате CTRL+V , за да поставите оригиналния текст, който сте копирали. Някои уебсайтове може да проследяват CTRL+V и да го използват за задействане на команда, която променя съдържанието на клипборда.
Те също могат да проследяват движенията на мишката. Ако не използвате клавиатурата, а вместо това използвате контекстното меню, за да копирате, те също могат да задействат команди за замяна на съдържанието на клипборда.
Накратко, Pastejacking е метод, който злонамерените уебсайтове използват, за да поемат контрола върху клипборда на вашите компютри и да променят съдържанието му на нещо вредно без ваше знание.(In short, Pastejacking is a method that malicious websites employ to take control of your computers’ clipboard and change its content to something harmful without your knowledge.)
Защо Pastejacking е вредно
Да предположим(Suppose) , че копирате поставяне от уебсайт в Microsoft Word . Когато натиснете CTRL+C или CTRL+V , уебсайтът поставя няколко команди във вашия клипборд, които могат да създават и изпълняват вредни макроси.
По-лошото е, когато поставяте съдържание директно в конзола като PowerShell или прозорец на командния ред(Command Prompt) . Потребителите на Mac(Mac) имат известна сигурност, ако използват iTerm . Това е емулация, която позволява на потребителите на Mac да заменят конзолата по подразбиране. Когато използва iTerm, той пита потребителите дали наистина искат да поставят нещо, съдържащо символ „нов ред“. След това потребителите могат да изберат „Да“ или „Не“ в зависимост от това какво правят.
Знакът за нов ред(Newline character) всъщност е половината от клавиша Enter . Клавишът Enter е изобразен, обикновено със стрелка, която изглежда идва от горен ред към долен ред и след това наляво. Клавишът Enter е комбинация от символ Newline(Newline) (промяна на следващия ред) и Return (прочетете „връщане на каретката в най-лявата позиция x,0“ както при пишещи машини). Когато натиснете клавиша Enter , всяка команда на този конзолен ред се изпълнява. Зависи от конзолата да поиска потвърждение.
Командният ред на Windows не иска потвърждение в случай на повечето команди. Той иска потвърждение само в случай, че използвате команда DEL или FORMAT . За команди като RENAME и т.н., няма да иска потвърждение. Не съм използвал Powershell много, така че не знам как се приемат командите там.
Във всеки случай, ако уебсайтът поставя команди във вашия клипборд с клавиша Enter ( /n/r , където /n е нов ред, а /r е връщане на карета), конзолата или което и да е програмируемо приложение директно изпълнява командата(ите). Ако тези команди са вредни, те могат да създадат хаос на вашата машина и мрежа.
Прочетете: Пръстови отпечатъци за трафик на уебсайтове(Website Traffic Fingerprinting) .
Как да избегнем лепене на паста
Ако сте OS X , можете да използвате емулатора iTerm за безопасност. Той ще ви подкани в случай, че извличането на паста се случи с вече добавен набор от знаци Enter .
Потребителите на Windows(Windows) трябва да проверят какво е поставено в клипборда на вашите компютри. За да направите това, първо поставете съдържанието в Notepad . Той поставя клипборда само като текст и ви позволява да видите какво има в клипборда. Ако видите какво сте копирали, можете да продължите и да го поставите където искате. Това означава допълнителна стъпка, но е по-добре от Pastejacked . Не забравяйте(Remember) , че използването на Word за проверка на клипборда може да бъде опасно, тъй като също може да се програмира с помощта на макроси и т.н.
Не забравяйте(Remember) , че използването на Word за проверка на клипборда може да бъде опасно, тъй като той също може да се програмира с помощта на макроси и т.н. Notepad не е програмируем и следователно е безопасно да проверявате съдържанието на клипборда. Разбира се, няма да видите формата, шрифтовете, стиловете и т.н., тъй като съдържанието е поставено като обикновен текст.
За изображения, въпреки че не съм сигурен, мисля, че щракването с десния бутон и изборът на „ Save As... ” е по-добре, отколкото да използвате командата „ Копиране “.(Copy)
Прочетете също: (Also read:) Кражба на данни от клипборда – Засилване на настройката за сигурност в Internet Explorer .
Related posts
Как да проверите дали връзката е безопасна или не с помощта на вашия уеб браузър
Разберете дали вашият онлайн акаунт е бил хакнат и данните за имейл и парола са изтекли
Съвети за онлайн безопасност за деца, студенти и тийнейджъри
Статия за интернет сигурност и съвети за потребители на Windows
Защитете децата си от съдържание за възрастни с помощта на Clean Browsing
Какво представляват китоловните измами и как да защитите своето предприятие
Най-добрите безплатни онлайн инструменти за редактор на PDF, които са базирани на облак
Вход в PayPal: Съвети за безопасно регистриране и влизане
Онлайн кражба на самоличност: съвети за превенция и защита
Какво представляват цифрови отпечатъци, следи или сянка?
Поправете онлайн влизането в момента не е налично - Грешка в произхода на компютър с Windows
Измами на Microsoft: Измами по телефона и имейлите, които злоупотребяват с името на Microsoft
Как да намерите подобни изображения онлайн, като използвате обратно търсене на изображения
Най-добрите безплатни онлайн курсове за обучение, за да останете във форма, докато сте у дома
Какво е кибертормоз? Как да го предотвратим и докладваме?
Най-добрите безплатни приложения за онлайн анкети и формуляри
Най-добрите безплатни онлайн инструменти за създаване на блок-схеми
Какво е атака човек в средата (MITM): определение, превенция, инструменти
Какво е Fleeceware? Как да се предпазите от Fleeceware приложения?
Как да промените Xbox Gamertag чрез PC Xbox приложение, онлайн или конзола