venerdì 26 febbraio 2016

Attenzione a copiare i comandi linux

Sarà capitato anche a voi, programmatori con accesso ssh ad un server, di cercare comandi linux in giro.
Vi sarà capitato di imbattervi in stackexchange, in siti dedicati, in forum e quant'altro.
Ad un certo punto trovate il comando che vi serve, lo selezionate e lo eseguite, incollandolo, nella vostra shell.
Beh, non fatelo mai più.

Ho preparato un esempio molto semplice, eccolo qui:
ls -l
# ognuna di queste righe viene eseguita appena si incolla
# quindi faccio quello che mi pare
# con i permessi dell'utente loggato, magari root ;)
touch ciaociaociaociao.txt
# pulisco lo schermo, la history etc e torno al comando atteso
clear
ls -l
| grep ciao


Variante (facilmente utilizzabile nei forum dove è concesso l'uso di immagini):
ls -l 
# Variante con ALT di una immagine
# ognuna di queste righe viene eseguita appena si incolla<br>
# quindi faccio quello che mi pare
# con i permessi dell'utente loggato, magari root ;)
touch ciaociaociaociao.txt
# pulisco lo schermo, la history etc e torno al comando atteso
clear
ls -l | grep ciao


Se questo fosse un comando trovato in giro, probabilmente lo copiereste ed incollereste nella vostra shell: provate ad incollare qui per vedere cosa potrebbe accadere (è solo una textarea per vedere cosa avete copiato):


Incollando in una vera shell vedreste muoversi qualcosa, sparire tutto e vi ritrovereste con la vostra prompt in alto con il comando che vi aspettate. Potreste ignorare questo strano comportamento, sempre che ve ne accorgiate, o scoprire che avete appena eseguito qualcosa, ma in ogni caso è ormai troppo tardi!

Il trucco è semplice: all'interno della vostra selezione finisce del testo che non vedete: nel primo esempio un tag <span> con posizione assoluta lontano in alto a sinistra fuori dallo schermo (richiede del css in pagina o anche inline), nella seconda versione si tratta dell'attributo ALT delle immagini, che fornisce la versione testuale dell'immagine stessa..
Ho verificato come in alcune versioni di forum sia concesso l'uso di immagini con tanto di tag "alt", che è quanto basta per inserire minacce di questo tipo in giro.

Quello che si può combinare è senza confini, dall'installazione di backdoor al furto di file, il tutto limitatamente ai permessi dell'utente quantomeno, che però spesso ha poteri sufficienti per fare diversi tipi di danni.

Quello che posso consigliare, ovviamente, è di incollare prima in un editor di testi, per scrupolo!

Nessun commento:

Posta un commento