LINUX.ORG.RU

Не копируйте shell из браузера!

 , ,


1

1

Когда вы видите команду оболочки в Интернете, не копируйте ее в свой терминал.

Современные API буфера обмена позволяют веб-сайту тривиально перезаписывать то, что вы помещаете в буфер обмена, без подтверждения или разрешения пользователя.

Обратите внимание, что вам даже не нужно нажимать ENTER в терминале после вставки, чтобы сработал эксплойт. Завершающая команду новая строка делает это за вас!

Подробности

Перемещено Shaman007 из security


Ответ на: комментарий от darkenshvein

а например другой вопрос - зачем браузеры так делают?

Чтобы можно было сделать веб-приложения со своим текстовым редактором?

X512 ★★★★★
()

Можно просто использовать Zsh и bracketed paste. Тогда после вставки команда будет видна целиком, и надо будет нажать ENTER, чтобы она выполнилась. Даже если команда содержит переводы строк.

kmeaw ★★★
()

Microsoft Terminal спрашивает подтверждение.

anonymous
()

А ещё можно патч Бармина запустить. Говорят он исправляет эту уязвимость. На ЛОР-е есть.

peregrine ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.