Maison > interface Web > tutoriel HTML > le corps du texte

Pastejacking

WBOY
Libérer: 2016-06-24 11:17:01
original
1117 Les gens l'ont consulté

这种攻击被称之为 粘贴劫持 ,他的概念验证攻击原理与旧版CSS漏洞利用一致,但略有不同。

Ayrey解释称,不同点在于事件后文本可以被复制,事件后也可以复制在短定时器上,并且易于复制十六进制字符至剪贴板,其可以用于开发VIM。

他还表示, Java让此类攻击难以识别且难以中止。

与CSS相较,Java功能更强大且更全能,这类攻击就体现无遗。CSS要求用户必须复制-粘贴整个恶意文本,而Java更具欺骗性。

用户甚至不必选择整个恶意文本,一个字符就够。理论上讲,攻击者可以添加恶意粘贴劫持Java代码至整个页面,并且当用户在控制台内粘贴任何内容,他们可能就潜伏在你背后偷偷摸摸运行命令。

Ayrey甚至提供了演示视频,展示攻击者运行恶意代码、清除控制台并附加用户复制的代码的过程,让普通网民认为并无异常。

如果与技术支持页面或钓鱼邮件有关联,此攻击也许会带来非常严重的后果。用户可能认为他们正复制正常的文本至控制台,然而事实上,他们正中了恶意攻击者的圈套。

因为终端命令会自动执行,用户甚至不必按下Enter键便可执行恶意代码,CTRL+V足矣。

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal
À propos de nous Clause de non-responsabilité Sitemap
Site Web PHP chinois:Formation PHP en ligne sur le bien-être public,Aidez les apprenants PHP à grandir rapidement!