CSS-инъекция: что может быть хуже?

Question

Мы проводим оценку безопасности.

Существует вероятность того, что злонамеренный пользователь может внедрить произвольный CSS в веб-страницы другого пользователя, хотя мы не уверены, что он действительно может быть использован.

Я понимаю, что он мог полностью изменить внешний вид страницы, даже не вызывая вообще никакого отображения. Это все? Что может случиться худшее? Может ли JavaScript быть встроен в CSS? Может ли он «украсть» куки другого пользователя? И начать еще один сеанс?

Answer 1

Взгляните сюда:

• Ultimate XSS CSS инъекция
• HTML / CSS-инъекции - примитивный вредоносный код (или, что худшее, что может случиться?)
• Шпаргалка по профилактике XSS на OWASP

Answer 2

Да на все вышеперечисленное. Инъекция произвольного CSS может привести к выполнению JavaScript. Посмотрите на:

• Шпаргалка XSS

Худшее, что может случиться, зависит от окружающей среды. В некоторых случаях кража файла cookie сеанса и доступ к сеансу пользователя может быть самым плохим случаем (например, банки, онлайн-торговля акциями), это может быть не так в вашей ситуации. Другими примерами атак могут стать получение контроля над браузером, получение доступа к клиентскому компьютеру и т. Д.