È possibile eseguire l'arbitraggio del codice arbitrario utilizzando l'iniezione CSS?

1

Come parte del nostro progetto di classe, stiamo studiando gli attacchi che potrebbero essere fatti usando CSS Injection. Nel nostro modello di minaccia, l'utente malintenzionato può manipolare qualsiasi file CSS sul server. Se l'attaccante sostituisce il file CSS originale con un file CSS dannoso e se il server Web invia questo file CSS dannoso al client, l'autore dell'attacco può eseguire qualche codice nel client?

Ad esempio, un file CSS contiene informazioni come questa

#mw-indicator-mw-helplink a {
  background-image: url('images/help.png');
  background-image: linear-gradient(transparent, transparent), /* @embed */ url('images/help.svg');
  background-repeat: no-repeat;
  background-position: left center;
  padding-left: 28px;
  display: inline-block;
  height: 24px;
  line-height: 24px;
}

Un utente malintenzionato può modificare l'URL in un URL dannoso ed eseguire codice nel client?

    
posta satya 09.12.2018 - 14:44
fonte

1 risposta

3

If attacker replaces original CSS file with a malicious CSS file and if the web-server sends this malicious CSS file to the client, can the attacker execute some code in the client?

L'esecuzione del codice lato client tramite CSS non funziona nei browser moderni.

Consiglio vivamente di dare un'occhiata a " Attacchi senza script - Ruba la torta senza toccare il davanzale "," CSS: script di stile a cascata ", e il recente video di LiveOverflow" La maledizione dei fogli di stile di origine incrociata "se sei interessato a saperne di più su scriptless attacchi che si basano su CSS.

Can an attacker change the url to some malicious url, and execute some code in client?

L'esecuzione effettiva di JavaScript dannoso tramite url() funzionerà solo con browser obsoleti.

    
risposta data 09.12.2018 - 16:04
fonte

Leggi altre domande sui tag