Нежелательные CSS введены в сообщения

Question

Некоторые из наших пользователей вставляли css в свои посты без их ведома. Этот CSS, по-видимому, связан с рекламой и не генерируется текстовым процессором и состоит только из CSS и без HTML. Ниже приведен пример:

.adslot-overlay
{
  position:absolute;
  font-family:arial, sans-serif;
  background-color:rgba(0,0,0,0.65);
  border:2px solid rgba(0,0,0,0.65);
  color:#FFF!important;
  z-index:2147483647;
  text-decoration:none;
  box-sizing:border-box;
  text-align:left;
  margin:0;
}

.adslot-overlay-iframed
{
  top:0;
  left:0;
  right:0;
  bottom:0;
}

.slotname
{
  position:absolute;
  top:0;
  left:0;
  right:0;
  font-size:13px;
  font-weight:700;
  vertical-align:middle;
  background-color:rgba(0,0,0,0.45);
  text-overflow:ellipsis;
  white-space:nowrap;
  overflow:hidden;
  padding:3px 0 3px 6px;
}

.slotname span
{
  text-align:left;
  text-decoration:none;
  text-transform:capitalize;
}

.revenue
{
  position:absolute;
  bottom:0;
  left:0;
  right:0;
  font-size:11px;
  vertial-align:middle;
  text-align:left;
  background-color:rgba(0,0,0,0.45);
  font-weight:700;
  text-overflow:ellipsis;
  overflow:hidden;
  white-space:nowrap;
  padding:3px 0 3px 6px;
}

.revenue .name
{
  color:#ccc;
}

.revenue .horizontal .metric
{
  display:inline-block;
  padding-right:1.5em;
}

.revenue .horizontal .name
{
  padding-right:.5em;
}

.revenue .vertical .metric
{
  display:block;
  line-height:1.5em;
  margin-bottom:.5em;
}

.revenue .vertical .name,.revenue .vertical .value
{
  display:block;
}

.revenue .square .metric,.revenue .button .metric
{
  display:table-row;
}

.revenue .square .metric
{
  line-height:1.5em;
}

.revenue .square .name,.revenue .square .value,.revenue .button .value
{
  display:table-cell;
}

.revenue .square .name
{
  padding-right:1.5em;
}

.revenue .button .name
{
  display:block;
  margin-right:.5em;
  width:1em;
  overflow:hidden;
  text-overflow:clip;
}

.revenue .button .name:first-letter
{
  margin-right:1.5em;
}

a.adslot-overlay:hover
{
  border:2px solid rgba(58,106,173,0.9);
}

a.adslot-overlay:hover .slotname
{
  border-bottom:1px solid rgba(81,132,210,0.9);
  background-color:rgba(58,106,173,0.9);
}

a.adslot-overlay:hover .revenue
{
  border-top:1px solid rgba(81,132,210,0.9);
  background-color:rgba(58,106,173,0.9);
}

div.adslot-overlay:hover
{
  cursor:not-allowed;
  border:2px solid rgba(64,64,64,0.9);
}

div.adslot-overlay:hover .slotname
{
  border-bottom:1px solid rgba(128,128,128,0.9);
  background-color:rgba(64,64,64,0.9);
}

div.adslot-overlay:hover .revenue
{
  border-top:1px solid rgba(128,128,128,0.9);
  background-color:rgba(64,64,64,0.9);
}

Я провел поиск в интернете и не вижу объяснения этому. Все, что я получаю, это несколько других сайтов с похожими css, такими как:

http://www.greenbiz.com/video/2012/02/24/john-donahoe-conversation-joel-makower

http://bloggers.com/posts/tamilactressbook-47592 (каждое сообщение)

Казалось бы, этот css внедряется с помощью javascript, поскольку так много рекламных сценариев являются js и что механизмы отправки сообщений используют редактор wysiwyg, такой как tinymce. Это может быть связано с браузером, и это может зависеть от надстроек. На данном этапе это загадка, и мне интересно, сталкивался ли кто-нибудь еще с этим.

Answer 1

Линдси прав в том, что виновником является панель инструментов издателя Google. GPT создает и накладывает на статистику объявлений и т. Д., И каким-то образом CSS для этого вставляется в текстовые редакторы. Выключите его при создании / редактировании сообщений.

Answer 2

Я начал испытывать это вчера.Он вставляется в каждый пост, как только я нажимаю «опубликовать».Искал ответы о том, как это исправить и наткнулся на ваш пост.Спасибо

Обновление: я часами перелистывал все свои файлы и не нашел ничего подозрительного.Единственное, что я мог подумать о том, что я сделал до того, как это произошло, - это одобрение некоторых «отрывочных» комментариев.

К сожалению, я не использовал научный подход к решению проблемы.Я закрыл окно браузера, которое использовал, открыл свой блог в другом окне и переместил эти утвержденные комментарии в мусорное ведро.

Я запустил тестовое сообщение, и «мусор» больше не появляется в моих сообщениях,Просто хотел обновить для всех, кто ищет эту проблему.

Answer 3

Вам нужно посмотреть, сможете ли вы изолировать, когда CSS был введен и где все это можно найти в вашей базе данных.Есть несколько сценариев.Во-первых, рассматриваемое программное обеспечение для ведения блогов может иметь уязвимость, которая может позволить его внедрить.Если это атака с использованием SQL-инъекций прямо на веб-сайт, этот код CSS может быть везде.Несколько лет назад я работал в компании, у которой был эксплойт на одном из ее сайтов, и я должен признать, что SQL-код для внедрения был очень умным.По сути, если бы у вас были строки с любым текстовым полем (varchar / text), фрагмент javascript (или его часть) будет вставлен во все эти поля.

Если он вводится только тогда, когда пользователь публикует сообщения, то, насколько нам известно, это может быть связано с безвредностью, вызванной несколькими факторами.

Об интересном, что я вижу с первого разастраница состоит в том, что это meta описание также содержит контент css:

<meta name="description" content="eBay's CEO John Donahoe explores the business case for sustainable consumption, addressing the unique opportunities and roles of big business, small business, and technology in driving this shift.


.adslot-overlay {position: absolute; ...">

, отредактированный для краткости .

Так что я думаю, что мы смотрим на некоторыесвоего рода автоматическая атака SQL инъекций.

А теперь, почему CSS?Ну, я также думаю, что это должно быть использовано в сочетании с другой атакой (если только это не часть той атаки, которую мне еще предстоит идентифицировать).Из css видно, что оверлей .adslot позиционируется абсолютно, и его z-индекс равен z-index: 2147483647;, что, я думаю, настолько высоко, насколько это возможно установить.Если этот код фактически превращает его в тег стиля или ссылку на файл CSS, его можно использовать вместе с контентом, который фактически имеет классы, используемые для наложения страницы, создавая впечатление, что веб-страница рекламирует универсальную виагру или что-то подобное

Теперь я должен признать, что сделал здесь несколько предположений, и, возможно, некоторые из них не соответствуют действительности. , вероятно, верно, что:

1. программное обеспечение вашего блога может использоваться,
2. вашей базе данных потребуется много очистки после того, как вы закроете дыры (извините).

Answer 4

Спасибо. У нас были другие сообщения об этом; Сейчас я работаю над исправлением, которое будет в 2.3 к концу недели.

Answer 5

Вы правы!Проблема становится из панели инструментов Google.Я пытаюсь с анонимным Chrome и исчезнуть prblem!

Answer 6

Мне кажется, я понял это.Это вызвано Панелью инструментов издателя Google , расширением Chrome.

Это ошибка, а не атака.

При включенном GPT почти каждый раз, когда я загружаю jsFiddle, этоВставляется CSS. После того, как я отключил его, у меня больше не было проблемы.