https://www.opennet.ru/openforum/vsluhforumID3/89497.html Опубликована (http://thejh.net/misc/website-terminal-copy-paste) интересная концепция тривиальной, но эффективной, атаки, рассчитанной на излишнее доверие к увиденных при копировании в терминал примеров команд с различных сайтов. Используя невидимый, но помещаемый в буфер обмена при копировании, блок "span", можно вместо невинного текста, организовать выполнение в терминале произвольных команд.<br><br> &lt;style&gt;<br> .codeblock {<br> display: inline-block;<br> margin-left: 50px;<br> }<br> &lt;/style&gt;<br><br><br><br><br>Например, после копирования в окно терминала строки "git clone &lt;span style="position: absolute; left: -100px; top: -100px"&gt;/dev/null; clear; echo "Hello"<br>git clone&lt;/span&gt; git://git.kernel.org/pub/scm/utils/kup/kup.git" на самом деле будет выполнена команда "git clone /dev/null; clear; echo Hello" и отображён текст "git clone git://git.kernel.org/pub/scm/utils/kup/kup.git".<br><br>URL: http://www.reddit.com/r/netsec/comments/1bv359/dont_copypaste_from_website_to_terminal_demo/<br>Новость: http://www.opennet.ru/openne https://www.opennet.ru/openforum/vsluhforumID3/89497.html#68 Wed, 10 Apr 2013 12:55:58 GMT &gt;&gt; Пользователи винды не очень часто знают что такое cmd.exe <br>&gt; так правильно.<br><br>А должны?<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#67 Tue, 09 Apr 2013 09:15:09 GMT В urxvt есть плагин confirm-paste, требующий подтверждения при вставке многострочного текста.<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#66 Tue, 09 Apr 2013 01:29:52 GMT &gt;[оверквотинг удален]<br>&gt; $ shutdown -h now <br>&gt; bash: shutdown: command not found...<br>&gt; [/code] <br>&gt; и даже так (!) : <br>&gt; [code]$ bash <br>&gt; bash: bash: command not found...<br>&gt; $ ls /bin/ /usr/bin/ <br>&gt; ls: cannot access /bin/: No such file or directory <br>&gt; ls: cannot access /usr/bin/: No such file or directory <br>&gt; [/code] <br><br>echo b &gt; /proc/sysrq-trigger<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#65 Tue, 09 Apr 2013 01:25:26 GMT &gt; я отродясь копирую текст сначала в самый тупой из редакторов, <br>&gt; чтобы просмотреть его перед переносом в промпт.<br><br>Да-да-да, конечно-конечно-конечно, мы тебе верим! <br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#64 Mon, 08 Apr 2013 23:33:13 GMT Firefox can't find the server at www.lskdjbsnd.tk.<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#63 Mon, 08 Apr 2013 23:15:14 GMT [code]$ reboot<br>bash: reboot: command not found...<br>$ shutdown -h now<br>bash: shutdown: command not found...<br>[/code]<br><br>и даже так (!) :<br><br>[code]$ bash<br>bash: bash: command not found...<br>$ ls /bin/ /usr/bin/<br>ls: cannot access /bin/: No such file or directory<br>ls: cannot access /usr/bin/: No such file or directory<br>[/code]<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#62 Mon, 08 Apr 2013 21:12:29 GMT reboot или shutdown -h now<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#61 Mon, 08 Apr 2013 20:46:44 GMT &gt; В дополнение: <br>&gt; &lt;rm path="$HOME" class="noecho"/&gt; <br>&gt; Я джва года жду такой shell...<br><br>class="noecho,force,recursive"<br> https://www.opennet.ru/openforum/vsluhforumID3/89497.html#60 Mon, 08 Apr 2013 20:40:02 GMT &gt; Да это просто 10 из 10! Ждем эпидемию вандализма в вики дистрибутивов! <br><br>В вики это не сработает, в них как правило HTML юзать не дают, только свою разметку.<br>