前言
关于 Web 安全的「粘贴板安全」,能意识到安全风险的人并不多。大多数人认为这只是隐私安全,最多泄露当前复制的内容而已。或者就是用于一些小花招,例如自动复制淘口令然后唤起手淘这种恶意行为。
事实上,粘贴板安全是非常重要的 —— 尤其是我们这些经常上网查资料的人。稍有不慎,系统都会被入侵!
所见非所得
有没有想过,当你选中一段文字复制后,粘贴出来的却是不同的内容?
你肯定不希望这样,但你一定遇到过。比如复制某帖子的时候,末尾会加上「出自作者 XXX」这种烦人的内容。
从技术上说,实现这种效果很容易。但是,你有没有从安全角度考虑过这个问题?
比如,你从 Stack Overflow 上搜到的答案是 ping google.com,一条人畜无害的命令,结果粘贴出来的却是 sudo rm -rf /,你看都没看就敲下了回车。。。
也许你会说,正规的网站怎么可能会开这种玩笑。但是,你能保证网站不出现 XSS 吗?
也许你会说,我是一个仔细的人,命令粘贴后都会检查下再运行。但是,这仍然晚了。。。
粘贴即运行
众所周知,粘贴多行命令时,Shell 会自动运行换行符前面的。例如:
echo 1
echo 2
当你将其粘贴到终端后,echo 1 已自动运行,敲下回车只是运行 echo 2 而已。
因此 XSS 完全可以将恶意命令放在第一行。你一粘贴,它就自动执行了!
以后你还敢从网上随意复制粘贴命令吗?
也许你在想,发现破绽后马上 ctrl c 来得及吗。来不及了,恶意命令完全可在后台执行,等你找到的时候说不定木马已经安装好了。
甚至,你可能根本都没发现破绽。。。
隐蔽执行
为了让恶意命令不留下痕迹,还可以在运行后再 clear。如果终端之前没内容,你只是觉得屏幕好像闪了一下。如果之前有内容,现在一粘贴突然变没了,也许你会觉得奇怪,但你会不会深究?
也许你会调出上一个命令,或通过 history 看究竟执行了什么。但是,恶意命令完全可以删掉历史记录,让你无从查证。
更进一步,恶意程序可将粘贴板修改成正常内容,你去其他地方粘贴看到的仍是预期内容。甚至,恶意程序还可以给网页里的 XSS 发送命令,让它以后不再劫持你了,让你一时半会都复现不出来!(当然,粘贴到远程服务器 ssh 的话无视这一步)
结论
从网上复制粘贴命令风险很大。最好先粘贴到记事本里检查一下,然后再粘贴到终端里运行。