Можно ли использовать межсайтовый скриптинг в таблице стилей CSS?Например, справочная таблица стилей содержит вредоносный код, как бы вы это сделали?Я знаю, что вы можете использовать теги стилей, но как насчет таблиц стилей?
Из справочника по безопасности браузера
Риск выполнения JavaScript. Как малоизвестная особенность, некоторые реализации CSS позволяют встраивать код JavaScript в таблицы стилей. Есть как минимум три способа достижения этой цели: с помощью директивы expression (...), которая дает возможность оценивать произвольные операторы JavaScript и использовать их значение в качестве параметра CSS; используя директиву url ('javascript: ...') для свойств, которые ее поддерживают; или вызывая специфичные для браузера функции, такие как механизм -moz-привязки Firefox .
... и после прочтения я обнаружил это в StackOverflow. См. Использование Javascript в CSS В Firefox вы можете использовать XBL для добавления JavaScript на страницу через CSS. Однако файл XBL должен находиться в том же домене, теперь, когда ошибка 324253 исправлена .
Существует еще один интересный (хотя и отличный от вашего вопроса) способ злоупотребления CSS. См. http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html. По сути, вы неправильно используете синтаксический анализатор CSS для кражи контента из другого домена.
В проекте OWASP Mutillidae есть пример уязвимости Cascading Style Injection на странице : http://localhost/mutillidae/index.php?page=set-background-color.php
Конечно, вам нужно сначала настроить env локально. Вы можете скачать и настроить его на своем локальном хосте по следующей ссылке: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
Вот соответствующий намек: https://github.com/hyprwired/mutillidae/blob/master/includes/hints-level-1/cascading-style-sheet-injection-hint.inc
да, его вызов Xsstc , подробнее в этой статье:
http://www.tralfamadore.com/2008/08/xsstc-cross-site-scripting-through-css.html