Pastejacking https://github.com/dxa4481/Pastejacking блядь
Browsers now allow developers to automatically add content to a user's clipboard, following certain conditions. Namely, this can only be triggered on browser events. This post details how you can exploit this to trick a user into running commands they didn't want to get ran, and gain code execution. ‎· с сатанинским оскалом из дна
echo "not evil" ‎· CheekiBreeki69
так не работает же? ‎· CheekiBreeki69
[...] if you paste into vim, vim macros may be used to exploit you. An example of this can be seen in this demo and below -- copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n'); -- This demo echo evil when pasted in terminal, and it will cat the user's /etc/passwd file when pasted into vim. ‎· с сатанинским оскалом из дна
у меня echo "evil" вставляется из хрома ‎· с сатанинским оскалом из дна
Работает работает. Просто нужен обычный хром, не обвешанный всякими AdBlock/Ghostery и прочей броней. ‎· Стадо овец
тоже хром, винда, тройной обвес из всякой прайваси машинерии, затонированные в ноль стёкла, подсвеченное дно. раз пять пробовал -- ни разу не получилось echo "evil" ‎· CheekiBreeki69
uBlock не спасает, да, а Ghostery небось может ‎· с сатанинским оскалом из дна
ghostery нет, кстати ‎· CheekiBreeki69
работает sad.jpg ‎· wisdom of wombats
главный вывод: дядюшка Скримейджер знает, что делает ‎· с сатанинским оскалом из дна
да лана троллить. вообще это же вроде не новость? может это ложное воспоминание, но всякие новостные сайты при копипейсте добавляют что-нибудь типа "скопировано с рбк", или вообще копируют не то ‎· CheekiBreeki69
дада, сайты со словами/аккордами тоже любят takoe. ‎· the disconsolate chimera
Я подозреваю, что можно было добавлять текст в конец, но не изменять копируемый текст. ‎· Стадо овец
@aivanov: ну так атака-то строится на том что тебе в конец суют \n, потом например :wq! для вима и шелловые команды ‎· CheekiBreeki69
@screamager не, я про сочетание обвесок конкретно. сама функциональность не новость, в шелл я копипаст никогда естественно не делаю, а вот до того, что команду в vim можно загнать, я не допёр (хотя уверен, что ни на одном посещаемом мной сайте закладки на vim нет, гггг) ‎· с сатанинским оскалом из дна
А. Я про \n не уловил. Тогда понятнее. Я не подумал, что \n, вставленный из clipboard сразу исполняется или приводит к выпаданию текста в невидимую часть элемента ввода. ‎· Стадо овец