文章的簡短引用“老把戲又變新了:危險的複製和貼上”在 H Security 網站上:
複製和貼上某些內容並不一定意味著用戶會得到他們認為他們得到的東西。透過一點點 HTML 魔法,人們甚至可以誘騙不知情的網站訪客在他們不知情的情況下執行 shell 命令。這個技巧絕不是新鮮事,但目前在幾個網站上再次演示,這意味著 Linux 用戶特別必須小心他們複製和貼上的內容。
Ubuntu 12.10 使用者如何緩解問題?
答案1
避免此問題的一些簡單方法:
僅選擇(將滑鼠拖到其上)您看到的文字。如果在多行中發現此情況,請勿向下拖曳滑鼠來選擇所有行。相反,請逐行選擇每一行,並僅選擇您實際可以看到的文字。當然,這並不總是有效(事實上,正如 Chaskes 提到的和提供的連結所顯示的那樣,它仍然會攜帶惡意程式碼)。您仍然需要先將內容複製/貼上到文字檔案中。
另一種更快的方法是在文字上使用 Rambo,然後簡單地選擇整個內容。然後將其貼到
gedit例如中。在那裡您將能夠查看其中是否包含任何可疑內容。檢測此類惡意程式碼的一個好技巧是雙擊它。當您雙擊某些此類隱藏程式碼時,可選擇的部分將突出顯示,我可能會顯示一些看起來完全錯誤的內容。例如,以下是與同一篇文章相關的兩個案例:
在這種情況下,我會雙擊LS部分。我會假設作為一個普通用戶,它會突出顯示整行,但卻執行了上面的操作。這表明LS且該程式碼行的其餘部分不在同一個 HTML 元素上,這會提示您 HTML 有問題。這可能是錯誤的標籤或惡意意圖。
在這個例子中,您可以看到突出顯示的部分繼續向右移動,儘管在這種情況下,如果您將複製程式碼貼到gedit 中,它將顯示正確的訊息,但這是使用惡意程式碼的另一種方式。程式碼可以隱藏在右側,透過雙擊它,即使您看不到它,突出顯示的部分仍然會顯示它(例如,將右側的選單更改為高於其餘部分的 z-index 值,最重要的是,這個位置可以確保一切看起來「良好」。
在這兩種情況下,雙擊程式碼都可以得到實際的行。我還想補充一點,如果您雙擊並選擇整行,就像第二個範例一樣,在某些網站中這可能不是一件壞事。該網站可以將選定區域作為整行處理,而不是僅選擇文本,如下例所示:
如您所見,我雙擊了該命令,但它突出顯示了整行。是的,這背後可能存在一些邪惡程式碼,但由於網站是受信任的,因此它降低了發生這種情況的可能性(不過,為了確保安全,請將內容貼到文字編輯器中)。
它實際上不應該執行選擇一半的程式碼,然後執行我發布的第一張圖片所做的操作,即無「出現原因」地跳到頁面底部,而不是選擇它所在的整行。
執行此操作非常容易,而且很容易完全避免它。
就我而言,如果它很長(並且我相信該網站正在複製它),那麼我會將其放入 gedit 中。
答案2
最簡單的方法可能是先將文字貼到純文字編輯器(如 Gedit)中。我養成這個習慣是為了去除周圍的網頁格式或有時意外複製的對象,但它也可以讓你看到你複製的所有內容。
您也可以右鍵單擊瀏覽器文件並查看頁面原始碼以查看實際內容。