Paste Jacking یک حمله در فضای آنلاین است که در آن، اطلاعات کپی شده در Clipboard کاربران توسط مهاجمین کنترل میشود و در جای دیگری قرار داده میشود. این حمله میتواند بر روی هر سیستم عامل و در هر مرورگری صورت بگیرد و در اغلب موارد به دلیل عدم آگاهی کاربران از وقوع آن، نتایج بدی برای افراد داشته باشد.
در Paste Jacking، مهاجمان میتوانند از طریق یک صفحه وب دستورالعملهای کپی و Paste یک محتوای جعلی را به Clipboard کاربران اضافه کنند. پس از اینکه کاربر محتوای جعلی را در Clipboard خود کپی کرده و در جای دیگری Paste کند، اطلاعات کپی شده توسط مهاجمان قرار داده شده و در بعضی از موارد باعث دسترسی غیرمجاز به حسابها و اطلاعات شخصی کاربران میشود.
برای مقابله با حملات Paste Jacking، کاربران باید از اطلاعات خود در Clipboard خود بسیار محافظت کنند و هرگز اطلاعات محرمانه را در آن قرار ندهند. همچنین، استفاده از روشهای دیگری برای انتقال اطلاعات مانند کپی و Paste در مرورگرها میتواند به کاهش احتمال وقوع حملات Paste Jacking کمک کند.
حمله Paste Jacking چیست؟
توضیح حمله Paste Jacking و راههای مقابله با آن
احتمالاً تا به حال برای شما هم پیش آمده که بخواهید از روی یک صفحه اینترنتی چیزی را کپی کرده و در یک جای دیگر Paste نمایید. به ویژه در فرمهایی که از شما دو مرتبه تقاضای ایمیل می کنند ، یا برای خیلی از لینوکس کارها و آنهایی که می خواهند Command را از اینترنت کپی کرده و در ترمینال لینوکس پیست نمایند و احیاناً خیلی سریع هم Enter را میزنند. طبق تحقیقات گروه پژوهشی آفسک احتمال هک شدن شما با این تکنیک بسیار بالا می باشد که به حمله Paste Jacking معروف است.
هنگامی که CTRL + C را روی صفحه کلید خود فشار می دهید تا یک متنی را کپی کنید ، این متن کپی شده در کلیپ بورد شما قرار میگیرد. حال اگر سایتی بخواهد به سادگی میواند با انجام یک کد جاوا اسکریپت ساده این متن را در کلیپ بورد به سادگی به محتوایی که خود دوست دارد تغییر دهد.
خب اجازه دهید تا با یک مثال عملی این سناریو را برای شما نمایش دهیم. به وسیله Notepad یک سند جدید درست کنید سپس کدهای مربوطه را داخل آن کپی پیست نمایید. نترسید تا اینجای کار خطری شما را تهدید نمیکند.
بعد از این کار این سند را به صورت html ذخیره نمایید. (فقط کافی است موقع ذخیره کردن پسوند txt را حذف و سپس از عبارت html به جای آن استفاده کنید)
<html>
<head>
<title>Pastejacking exploit example</title>
<meta name=viewport content="width=device-width, initial-scale=1">
</head>
<body>
To test the pastejacking copy the text from this page and try to execute on your terminal.
</br>
<p>Copy: echo "this is a text for copy."</p>
<script>
document.addEventListener('copy', function(e){
console.log(e);
e.clipboardData.setData('text/plain', 'echo ' ***** kaliboys ****t'rn');
e.preventDefault();
});
</script>
</body>
</html>
حال فکر کنید در مثال بالا به جای یک دستور جز echo یک دستور حیاتی وارد میشد ، چه اتفاقی می افتاد؟ به عنوان تمرین میتوانید این آموزش را با fork bomb ادغام کنید.
