Attenzione quando copiate comandi di shell da una pagina web
Eh si, avete capito bene! Non sempre ci si può fidare di chi sta dietro ad un sito web e quindi bisogna prestare molta attenzione soprattutto quando stiamo parlando di eseguire comandi da terminale.
Provate a copiare ed incollare questo testo:
git clone /dev/null; clear; echo -n “Hello “;whoami|tr -d ‘\n’;echo -e ‘!\nThat was a bad idea. Don'”‘”‘t copy code from websites you don'”‘”‘t trust!
Here'”‘”‘s the first line of your /etc/passwd: ‘;head -n1 /etc/passwd
git clone git://github.com/pragma-/networklog.git
Avete visto? c’è del “codice” nascosto che se incollato su terminale viene eseguito automaticamente.
Ecco il sorgente:
<p style="border: 1px dotted blue; display: inline-block; padding: 5px;">
git clone <span style="position: absolute; left: -5000px; top: -5000px">/dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!<br>Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd<br>git clone </span> git://github.com/pragma-/networklog.git
</p>Semplice no?
– soprattuto su os unix, in un terminale in cui si è root…
– la contromossa è molto semplice: incollare sempre i comandi in un editor di testo e poi eseguirli o addirittura scrivere un batch
– questo hack è basato su css, attenzione anche a flash