Pastejacking https://github.com/dxa4481/Pastejacking блядь
Browsers now allow developers to automatically add content to a user's clipboard, following certain conditions. Namely, this can only be triggered on browser events. This post details how you can exploit this to trick a user into running commands they didn't want to get ran, and gain code execution. ‎- как человек, чтобы быть попугаем
echo "not evil" ‎- squat survivor
так не работает же? ‎- squat survivor
[...] if you paste into vim, vim macros may be used to exploit you. An example of this can be seen in this demo and below -- copyTextToClipboard('echo "evil"\n \x1b:!cat /etc/passwd\n'); -- This demo echo evil when pasted in terminal, and it will cat the user's /etc/passwd file when pasted into vim. ‎- как человек, чтобы быть попугаем
у меня echo "evil" вставляется из хрома ‎- как человек, чтобы быть попугаем
Работает работает. Просто нужен обычный хром, не обвешанный всякими AdBlock/Ghostery и прочей броней. ‎- Стадо овец
тоже хром, винда, тройной обвес из всякой прайваси машинерии, затонированные в ноль стёкла, подсвеченное дно. раз пять пробовал -- ни разу не получилось echo "evil" ‎- squat survivor
uBlock не спасает, да, а Ghostery небось может ‎- как человек, чтобы быть попугаем
ghostery нет, кстати ‎- squat survivor
работает sad.jpg ‎- wisdom of wombats
главный вывод: дядюшка Скримейджер знает, что делает ‎- как человек, чтобы быть попугаем
да лана троллить. вообще это же вроде не новость? может это ложное воспоминание, но всякие новостные сайты при копипейсте добавляют что-нибудь типа "скопировано с рбк", или вообще копируют не то ‎- squat survivor
дада, сайты со словами/аккордами тоже любят takoe. ‎- исчадие бездны
Я подозреваю, что можно было добавлять текст в конец, но не изменять копируемый текст. ‎- Стадо овец
@aivanov: ну так атака-то строится на том что тебе в конец суют \n, потом например :wq! для вима и шелловые команды ‎- squat survivor
@screamager не, я про сочетание обвесок конкретно. сама функциональность не новость, в шелл я копипаст никогда естественно не делаю, а вот до того, что команду в vim можно загнать, я не допёр (хотя уверен, что ни на одном посещаемом мной сайте закладки на vim нет, гггг) ‎- как человек, чтобы быть попугаем
А. Я про \n не уловил. Тогда понятнее. Я не подумал, что \n, вставленный из clipboard сразу исполняется или приводит к выпаданию текста в невидимую часть элемента ввода. ‎- Стадо овец