Ani kopírování textu nemusí být vždy bezpečné
Autor: .cCuMiNn. | 9.4.2013 |
I když jde o záležitost poměrně staršího data, je trik s kopírováním skrytého obsahu stále aktuální. Dovolil jsem si mu tedy věnovat několik následujících řádek textu, abyste byli s touto hrozbou obeznámeni.
Jistě se Vám již mnohokrát stalo, že jste na webu vyhledávali nějaký ten úryvek programového kódu, nebo složitější příkaz pro příkazový řádek. Vzhledem k tomu, že je Internet nevyčerpatelnou studnicí vědomostí, budu předpokládat, že jste při svém hledání měli štěstí a skutečně jste nakonec našli to, co jste hledali.
Bez zaváhání jste pak s největší pravděpodobností objevený kód na webu označili myší, a běžným způsobem (copy+paste) jste jej zkopírovali do svého projektu, příkazové řádky, nebo na jiné cílové místo. Jste si ale jisti, že jste tímto způsobem skutečně zkopírovali to, co jste před sebou viděli na monitoru?
Zkusím pro svou ukázku použít populární formu textu bez odborného balastu, aby byl dopad útoku srozumitelný i pro běžného internetového uživatele. Představme si, že je právě den svatého Valentýna a vás v záchvatu pomatení mysli napadne popřát k tomuto svátku své nejdražší prostřednictvím srdcervoucího e-mailu. Na netu si proto najdete například tento krásný text:
Nekráčej za mnou - možná nemám sílu Tě vést, a stejně by bylo lepší, kdyby si táhla úplně někam jinam.
Kráčej vedle mě jako prašivej pes a buď mi láskou i přítelem, ale jen když na tebe budu mít zrovna náladu!
Nádherného Valentýna, miláčku!
Pokud byste jej ale zkopírovali do e-mailové zprávy a bez opětovného přečtení ihned odeslali, asi byste se divili, proč vám jako reakce přišlo něco o balení kufrů a okamžitém rozchodu.
Příkladem podobného útoku z odborné sféry pak může být například následující kód pro příkazovou řádku Windows. Ten sice po svém zkopírování a spuštění způsobí oproti očekávání navíc pouze vypnutí počítače, ale dopady by mohly být i mnohem horší. Co by proti tomu pak bylo pár sbalených kufrů.
Poslední příklad, který zde na toto téma uvedu, se bude týkat internetových odkazů. Již jsme si všichni zvykli na to, že aktivní odkazy nemusí vést vždy tam, kam se zdá, že směřují. Napadlo by vás ale dříve, že i zkopírováním neaktivního odkazu do adresového řádku prohlížeče, se můžete ocitnout zcela na jiném webu, než jste očekávali? Příklad:
Jak to celé funguje
Celý princip nebezpečného kopírování je přitom velice jednoduchý. Stačí, aby byl text na útočné stránce ve formátu HTML, který skryté pasáže textu obalí prvky nastylovanými tak, aby jejich obsah nebyl viditelný. Toho je možno dosáhnout mnoha způsoby, ze kterých jsem vybral (a v tomto článku použil) napozicování obsahu mimo viditelnou oblast stránky:
- <style>
- .invisible { position:absolute; top:-10000px}
- </style>
- <p>Toto je<span class="invisible"> neviditelný</span> text.</p>
Díky tomuto jednoduchému triku není veškerý text přímo viditelný, ale přesto se stává součástí označovaného a kopírovaného obsahu. Dejte si proto veliký pozor kdykoliv z webu něco kopírujete. Dvojnásob to pak platí ve chvíli, kdy je kopírován programový kód určený k následnému spuštění.
Pokud vás uvedená technika zaujala, doporučuji vám k prostudování také příbuzné téma: Přetažení jiného obsahu metodou Drag&Drop, o kterém jsem psal v tomto díle seriálu o clickjackingu.
Budeme potěšeni, pokud vás zaujme také reklamní nabídka
.Přihlášení | ||
| |||
.Infobox Nejnovější:
Články:
BugTrack: HackForum: Další služby: Na SOOM.cz je:
Článků: 991
Komentářů: 14 251 Aktualit: 1 862 Souborů: 151 WebForum: 49 302 Hardware: 38 Diskuze: 20 118 BugTrack: 4 414 Reg. uživatelů: 15 709 A proběhlo:
Zobraz. článků: 17 227 306
Staženo souborů: 1 355 599 Staženo dat: 871 762 MB Přístupy (hits): 197 952 238 | ||
| ||||
| |||
| |||
| |||
| ||||
| ||||
| ||||
| ||||
| ||||||||||||||||||||||||
