Iniezione CSS: qual è il peggio che può succedere?

Question

Stiamo facendo una valutazione della sicurezza.

Esiste la possibilità che un utente malintenzionato possa inserire il CSS arbitrario nelle pagine Web di un altro utente, sebbene non siamo sicuri che possa essere effettivamente sfruttato.

Capisco che potrebbe cambiare completamente l'aspetto della pagina, anche senza causare alcuna visualizzazione. È tutto? Qual è la cosa peggiore che potrebbe accadere? JavaScript può essere incorporato nei CSS? Può "rubare" i cookie dell'altro utente? E iniziare un'altra sessione?

Answer 1

dare uno sguardo qui:

• Ultimate XSS CSS injection
• HTML/CSS Injections - Primitive Malicious Code (or, What’s the worst that could happen?)
• XSS Prevention Cheat Sheet su OWASP

Answer 2

Sì per tutto quanto sopra. L'inserimento di CSS arbitrari può portare all'esecuzione di JavaScript. Guardate:

• XSS Cheat Sheet

La cosa peggiore che potrebbe accadere è dipendente dall'ambiente. In alcuni casi, rubando un cookie di sessione e accedendo alla sessione degli utenti, forse la cosa peggiore (ad es., Banche, commercio online di titoli) potrebbe non essere il caso della tua situazione. Altri esempi di attacchi potrebbero ottenere il controllo del browser, accedere al computer del cliente, ecc.