Kas teil on kiusatus käsk veebis kopeerida ja kleepida? Mitu korda läbi kaaluma.

Arvutitest mobiiltelefonideni on kopeerimis-kleepimine levinud kõikjal. See muudab elu lihtsamaks ja säästab teie aega, kuna te ei pea tippima pikki käske ega üleliigseid tekste. Kui te aga pole piisavalt ettevaatlik, võite end häkkida, kui kopeerite ja kleepite käske arvuti terminali.

Vaatame, kuidas kopeerimine ja kleepimine võib teid häkkida ning mida peaksite selle vältimiseks tegema.

Miks te ei tohiks käske kopeerida ja kleepida?

Olenemata sellest, kas olete käsurea kasutamisel uus või kogenud veteran, võib teil tekkida kiusatus kopeerida-kleepida Internetist käske, et säästa aega ja teha tegelik töö. Siiski peaksite teadma, et pahatahtlikud saidid relvastavad tegelikult koodikaste, et sisestada pahatahtlikku koodi alati, kui kopeerite ja kleepite käske otse terminali.

Need pahatahtlikud näitlejad kasutavad erinevaid kasutajaliidese nippe, et varjata pahatahtlikke käske kahjutu välimusega koodi taha.

Käsk nagu

sudoapt-get update && apt-get upgrade peaks tavaliselt värskendama hoidlaid ja uuendama pakette Linuxi süsteemis. Kui te aga sellest teadlik pole ja kopeerite ja kleepite selle käsu otse oma terminali, võib juhtuda, et käivitate endale teadmata pahavara koodi juurõigustega, kuna sudo eesliide.

Halvima stsenaariumi korral võib see kaasa tuua teie süsteemi täieliku ülevõtmise või isegi lunavararünnaku. Aga kuidas ohunäitlejad seda teevad? Kuidas saab pahatahtlikke käske kahjutu koodi taha peita?

Kuidas pahatahtliku koodi ärakasutamine töötab

Seda ärakasutamist saab teha nutikalt koostatud JavaScripti või isegi lihtsa HTML-i abil. JavaScriptil on mehhanism nimega Sündmuste kuulaja. Sündmused on toimingud, mis võivad juhtuda brauseris, nagu nupu klõpsamine, vormi esitamine, hiire liigutamine, klahvivajutuste vajutamine või akna suuruse muutmine.

The Sündmuste kuulaja, nagu nimigi ütleb, võimaldab teie veebirakendusel reageerida teatud sündmustele, mille käivitab kasutaja tegevus. Pahatahtlikud veebilehed kasutavad seda seaduslikku ja kasulikku mehhanismi ära, jäädvustades sündmuse, kus kasutaja teksti kopeerib, ja asendades kahjutu teksti pahatahtliku koodiga.

Siin on demopildi koostamiseks kasutatav peamine kasutuskood: