Можно ли использовать межсайтовый скриптинг в таблице стилей CSS? Например, эталонная таблица стилей содержит вредоносный код, как бы вы это сделали? Я знаю, что вы можете использовать теги стиля, но как насчет таблиц стилей?
Скрипты для сайтов в стилях CSS
Ответ 1
В руководстве по безопасности браузера
Риск выполнения JavaScript. Как малоизвестная функция, некоторые реализации CSS позволяют внедрить JavaScript-код в таблицы стилей. Для достижения этой цели существует как минимум три способа: с помощью директивы expression (...), которая дает возможность оценивать произвольные операторы JavaScript и использовать их значение как параметр CSS; используя указатель url ('javascript:...') по свойствам, которые его поддерживают; или путем вызова специфических для браузера функций, таких как - механизм moz-binding Firefox.
... и после прочтения этого, я нахожу это в StackOverflow. См. Использование Javascript в CSS В Firefox вы можете использовать XBL для ввода javascript на странице с помощью CSS. Однако файл XBL должен находиться в том же домене, теперь ошибка 324253 исправлена .
Существует еще один интересный (хотя и отличный от вашего вопроса) способ злоупотребления CSS. См. http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html. По сути, вы злоупотребляете парсером CSS, чтобы украсть контент из другого домена.
Ответ 2
да его вызов Xsstc, прочитайте больше в этой статье:
http://www.tralfamadore.com/2008/08/xsstc-cross-site-scripting-through-css.html
Ответ 3
В проекте OWASP Mutillidae есть пример уязвимости в стиле каскадного стиля, на странице: http://localhost/mutillidae/index.php?page=set-background-color.php
Конечно, сначала нужно настроить env локально. Вы можете загрузить и настроить его на своем локальном хосте по следующей ссылке: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
Вот соответствующий совет: https://github.com/hyprwired/mutillidae/blob/master/includes/hints-level-1/cascading-style-sheet-injection-hint.inc