PoC de robo de portapapeles en IE
Demostración de almacenamiento del portapapeles de los navegantes
|
Hace unos días Bernardo publicaba una prueba en la que se podía observar el contenido del portapapeles al pinchar sobre un enlace. Esta vez vamos un poco más allá y demostramos el uso malicioso que se puede hacer de la misma para robar y almacenar el contenido del portapapeles de todos los visitantes de una web que usen Internet Explorer.
PoC:
Para probar debes copiar algún texto dentro de portapapeles, cuidado que no sea información sensible y pinchar el siguiente enlace (en Internet Explorer!) que te llevará a una página donde podrás ver el contenido de tu portapapeles junto con el de el resto de gente que anteriormente pinchó como tú. Pincha aquí Para los que no teneis IE podeis ver el listado de contenidos en http://www2.hispasec.com/tests/portapapeles/. Hay que tener en cuenta que este mismo proceso de almacenamiento se puede realizar sin interactuación alguna del usuario, simplemente al cargar la página. |