Pastejacking https://github.com/dxa4481/Pastejacking блядь
Browsers now allow developers to automatically add content to a user's clipboard, following certain conditions. Namely, this can only be triggered on browser events. This post details how you can exploit this to trick a user into running commands they didn't want to get ran, and gain code execution. ‎- волна бургерных
echo "not evil" ‎- right wing hug squads
так не работает же? ‎- right wing hug squads
[...] if you paste into vim, vim macros may be used to exploit you. An example of this can be seen in this demo and below -- copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n'); -- This demo echo evil when pasted in terminal, and it will cat the user's /etc/passwd file when pasted into vim. ‎- волна бургерных
у меня echo "evil" вставляется из хрома ‎- волна бургерных
Работает работает. Просто нужен обычный хром, не обвешанный всякими AdBlock/Ghostery и прочей броней. ‎- Стадо овец
тоже хром, винда, тройной обвес из всякой прайваси машинерии, затонированные в ноль стёкла, подсвеченное дно. раз пять пробовал -- ни разу не получилось echo "evil" ‎- right wing hug squads
uBlock не спасает, да, а Ghostery небось может ‎- волна бургерных
ghostery нет, кстати ‎- right wing hug squads
работает sad.jpg ‎- wisdom of wombats
главный вывод: дядюшка Скримейджер знает, что делает ‎- волна бургерных
да лана троллить. вообще это же вроде не новость? может это ложное воспоминание, но всякие новостные сайты при копипейсте добавляют что-нибудь типа "скопировано с рбк", или вообще копируют не то ‎- right wing hug squads
дада, сайты со словами/аккордами тоже любят takoe. ‎- middle out-of-sight
Я подозреваю, что можно было добавлять текст в конец, но не изменять копируемый текст. ‎- Стадо овец
@aivanov: ну так атака-то строится на том что тебе в конец суют \n, потом например :wq! для вима и шелловые команды ‎- right wing hug squads
@screamager не, я про сочетание обвесок конкретно. сама функциональность не новость, в шелл я копипаст никогда естественно не делаю, а вот до того, что команду в vim можно загнать, я не допёр (хотя уверен, что ни на одном посещаемом мной сайте закладки на vim нет, гггг) ‎- волна бургерных
А. Я про \n не уловил. Тогда понятнее. Я не подумал, что \n, вставленный из clipboard сразу исполняется или приводит к выпаданию текста в невидимую часть элемента ввода. ‎- Стадо овец