Si vous avez l’habitude de suivre des tutos en ligne et de copier-coller des lignes de commandes trouvées sur le net, directement dans votre terminal, attention !

L’astuce n’est pas nouvelle, mais si vous copiez ce petit bout de code et que vous le collez dans un fichier texte ou directement dans votre terminal, vous verrez qu’il exécute beaucoup d’autres choses.

git clone /dev/null; clear; echo -n “Bonjour “;whoami|tr -d ’n’;echo -e ‘!nMauvaise idée. Ne copiez pas de code à partir de sites que vous ne connaissez pas ! Voici la première ligne de votre fichier /etc/passwd: ‘;head -n1 /etc/passwd git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

En regardant le code source, voici en fait ce qu’on y trouve :

git clone /dev/null; clear; echo -n “Bonjour “;whoami|tr -d ’n’;echo -e ‘!nMauvaise idée. Ne copiez pas de code à partir de sites que vous ne connaissez pas ! Voici la première ligne de votre fichier /etc/passwd: ‘;head -n1 /etc/passwd git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

Comme vous pouvez le voir, la partie incriminée se trouve dans un span qui n’apparait pas à l’écran puisqu’il est décalé de 2000 pixels sur la gauche. Mais comme ce span est placé entre le début de la commande et sa fin, lorsque vous sélectionnez la commande avec votre souris, vous embarquez aussi le contenu de ce span invisible à l’écran ?

Et le tour est joué puisqu’une fois collé dans un terminal, le contenu se lancera directement. Pensez donc à passer par un outil tampon qui supporte le texte brut uniquement, comme un éditeur de texte ou un champ de formulaire sur une page web, voire la barre d’adresse de votre navigateur.

Certains d’entre vous connaissent surement déjà ce problème, mais pour les autres, c’est toujours une bonne piqure de rappel, je pense.

Source