Wstrzyknięcie CSS: co jest najgorsze, co może się stać?

Question

Dokonujemy oceny bezpieczeństwa.

Jest szansa, że ​​złośliwy użytkownik może wstrzyknąć dowolny kod CSS na strony innego użytkownika, chociaż nie jesteśmy pewni, czy rzeczywiście może zostać wykorzystany.

Rozumiem, że może całkowicie zmienić wygląd strony, nawet nie powodując wyświetlania niczego. Czy to wszystko? Co najgorszego może się wydarzyć? Czy JavaScript może być osadzony w CSS? Czy może "ukraść" pliki cookie innego użytkownika? I zainicjować kolejną sesję?

Answer 1

Spójrz tutaj:

• Ultimate XSS CSS injection
• HTML/CSS Injections - Primitive Malicious Code (or, What’s the worst that could happen?)
• XSS Prevention Cheat Sheet na OWASP

Answer 2

Tak na wszystkie z powyższych. Wstrzyknięcie dowolnego kodu CSS może prowadzić do wykonania javascript. Spójrz na:

• XSS Cheat Sheet

Najgorsze, co może się zdarzyć, zależy od środowiska. W niektórych przypadkach kradzież pliku cookie sesji i uzyskanie dostępu do sesji użytkowników może być najgorszą rzeczą, jaka może się wydarzyć (np. Banki, transakcje giełdowe online) może nie być tak w przypadku Twojej sytuacji. Innymi przykładami ataków byłoby uzyskanie kontroli nad przeglądarką, uzyskanie dostępu do maszyny klienta itp.