{"id":836,"date":"2013-04-09T20:43:46","date_gmt":"2013-04-09T18:43:46","guid":{"rendered":"https:\/\/www.asafety.fr\/?p=836"},"modified":"2015-11-10T22:27:14","modified_gmt":"2015-11-10T20:27:14","slug":"injection-de-donnees-dans-le-presse-papier","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/misc\/injection-de-donnees-dans-le-presse-papier\/","title":{"rendered":"Injection de donn\u00e9es dans le presse-papier – WYSINWYC"},"content":{"rendered":"

<\/p>\n

Un PoC int\u00e9ressant fait quelque peu parler de lui depuis les deux derniers jours, bien que la technique n’est plus toute jeune. Celui-ci concerne les copier\/coller de donn\u00e9es, commandes et syntaxes que l’on peut trouver de part le net. Il est en effet possible d’injecter des commandes arbitraires dans le presse-papier des copier-colleurs un peu distraits (clipboard-poisoning<\/em>).<\/p>\n

Ce m\u00e9canisme\/vecteur d’attaque a \u00e9t\u00e9 nomm\u00e9 en 2008 de\u00a0WYSINWYC<\/a>, pour What You See Is Not What You Copy<\/em>.<\/p>\n

Toute personne un tant soit peu habitu\u00e9e \u00e0 glaner des informations techniques de part le net (en particulier dans les m\u00e9tiers de l’informatique) a pris l’habitude de copier\/coller toute sorte d’information sans en analyser le contenu.<\/p>\n

Sachez qu’il est possible de corrompre les donn\u00e9es vues dans une page web, que vous pensez copier, vis-\u00e0-vis de celles r\u00e9ellement plac\u00e9es dans votre presse papier.<\/p>\n

La technique consiste \u00e0 camoufler dans une balise HTML de type “span” invisible des syntaxes compl\u00e9mentaires. L’illustration suivante explique clairement le proc\u00e9d\u00e9 :<\/p>\n

\"Injection<\/a>

Injection dans le presse-papier (cliquer sur l’image pour voir l’animation)<\/p><\/div>\n

Jann Horn illustre ce PoC<\/a> en camouflant les commandes arbitraires dans un “span” hors de la fen\u00eatre d’affichage. Le code xHTML permettant cela est similaire au suivant :<\/p>\n

[html]&lt;\/p&gt;
\n&lt;p&gt;&amp;lt;p class=&amp;quot;codeblock&amp;quot;&amp;gt;&lt;br \/&gt;
\n &amp;lt;!– Oh noes, you found it! –&amp;gt;&lt;br \/&gt;
\n git clone&lt;br \/&gt;
\n &amp;lt;span style=&amp;quot;position: absolute; left: -100px; top: -100px&amp;quot;&amp;gt;\/dev\/null; clear; echo -n &amp;quot;Hello &amp;quot;;whoami|tr -d ‘\\n’;echo -e ‘!\\nThat was a bad idea. Don’&amp;quot;’&amp;quot;’t copy code from websites you don’&amp;quot;’&amp;quot;’t trust!&amp;lt;br&amp;gt;Here’&amp;quot;’&amp;quot;’s the first line of your \/etc\/passwd: ‘;head -n1 \/etc\/passwd&amp;lt;br&amp;gt;git clone &amp;lt;\/span&amp;gt;&lt;br \/&gt;
\n git:\/\/git.kernel.org\/pub\/scm\/utils\/kup\/kup.git&lt;br \/&gt;
\n&amp;lt;\/p&amp;gt;&lt;\/p&gt;
\n&lt;p&gt;[\/html]<\/p>\n

Imaginez les cons\u00e9quences que de tel copier\/coller\u00a0non-contr\u00f4l\u00e9s pourraient avoir? A combien de reprise avez-vous copi\u00e9\/coll\u00e9 des donn\u00e9es \u00e0 la va-vite sans les contr\u00f4ler au pr\u00e9alable? Les cons\u00e9quences pourraient \u00eatre dramatiques et peuvent s’appliquer \u00e0 un grand nombre de cible comme des requ\u00eates SQL avec un “DROP DATABASE” int\u00e9gr\u00e9 ou encore des commandes Unix avec un “rm -rf \/*”…<\/p>\n

A noter que le triple-clics sur la s\u00e9lection envisag\u00e9e ne fonctionnera pas. En effet, le triple-clics (qui permet de\u00a0s\u00e9lectionner\u00a0une cha\u00eene de caract\u00e8res\/phrase compl\u00e8te d’un bout \u00e0 l’autre) s\u00e9lectionnera qu’une partie des donn\u00e9es. La s\u00e9lection est stopp\u00e9es par la balise “span” cach\u00e9e.<\/p>\n

Il convient donc de sensibiliser les utilisateurs adeptes du copier\/coller, en passant par exemple via un Bloc-Note (notepad) pour visualiser concr\u00e8tement les donn\u00e9es du presse-papier, sans un quelconque\u00a0formatage.<\/p>\n

Sources & ressources :<\/strong><\/p>\n