Tegenwoordig vind je voor elk probleem wel een oplossing als je ernaar googelt. Voor Linux-problemen vind je dan al snel een volledige uitleg met allerlei commando’s die je kant-en-klaar in je terminalvenster kunt kopiëren en plakken. Weinig gebruikers staan stil bij de onveiligheid van die methode. Zelfs al lees je de commando’s eerst na op de website waar je ze vindt, er bestaan heel wat trucjes in HTML om iets anders te tonen dan de tekst die je voor het kopiëren selecteert. Gelukkig vindt er om de zoveel tijd iemand dat het welletjes is geweest en publiceert hij een webpagina met een (ongevaarlijke) demonstratie van wat er mogelijk is. Ga maar eens naar de hieronder vermelde webpagina van Jann Horn, die een eenvoudig git clonecommando lijkt voor te stellen. Vaak ga je zo’n lange URL niet zelf overtypen, met de kans op een typfout, maar kopieer je deze zonder nadenken. En bij een commando zoals sudo apt-get install langepakketnaam is het risico op misbruik nog groter; de verborgen commando’s kunnen dan met rootrechten werken nadat je je al bij sudo hebt geauthenticeerd. Hoe werkt zoiets dan? Een eenvoudig voorbeeld is de volgende HTML-code:

uname <span style=”display:
none;”>>/devnull;xterm;uname <
span> -a

Het gedeelte in het span-element is onzichtbaar, maar doordat het tussen uname en -a staat, wordt het mee gekopieerd. In plaats van xterm kan natuurlijk ook een gevaarlijker commando worden geplaatst. Als de gebruiker de tekst in zijn terminalvenster heeft geplakt, ziet hij natuurlijk die verborgen code. Maar ook daarvoor bestaan oplossingen. Lees de tweede link hieronder voor wat innovatieve oplossingen. Daarna zul je nooit meer terminalcommando’s van internet durven copy/pasten…

 

 

http://thejh.net/misc/website-terminal-copypaste
www.ush.it/team/ascii/hack-tricks_253C_CCC2008/wysinwyc/what_you_see_is_not_ what_you_copy.txt