Script intersite dans les feuilles de style CSS
Est-il possible d'utiliser des scripts intersite dans une feuille de style CSS? Par exemple, une feuille de style de référence contient du code malveillant, comment feriez-vous cela? Je sais que vous pouvez utiliser des balises de style, mais qu'en est-il des feuilles de style?
3 réponses
Du manuel de sécurité du navigateur
Le risque D'exécution JavaScript. En tant que fonctionnalité peu connue, certaines implémentations CSS permettent d'intégrer du code JavaScript dans des feuilles de style. Il y a au moins trois façons d'atteindre cet objectif: en utilisant l'expression(...) directive, qui donne la possibilité d'évaluer des instructions JavaScript arbitraires et d'utiliser leur valeur en tant que paramètre CSS; en utilisant l'url('javascript:...') directive sur les propriétés qui la supportent; ou par invoquer des fonctionnalités spécifiques au navigateur telles que le mécanisme -MOZ-binding de Firefox .
... et après avoir lu cela, je trouve cela sur StackOverflow. Voir utilisation de Javascript dans CSS Dans Firefox, vous pouvez utiliser XBL pour injecter javascript dans une page via CSS. Cependant, le fichier XBL doit résider dans le même domaine, maintenant que bug 324253 est corrigé .
Il existe une autre façon intéressante (bien que différente de votre question) d'abuser de CSS. Voir http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html . essentiellement, vous abusez de l'analyseur CSS pour voler du contenu d'un domaine différent.
Oui son appel Xsstc , en savoir plus dans cet article:
Http://www.tralfamadore.com/2008/08/xsstc-cross-site-scripting-through-css.html
Le projet OWASP Mutillidae a un exemple de vulnérabilité D'Injection de style en cascade sur la page: http://localhost/mutillidae/index.le php?page=ensemble-couleur d'arrière-plan.php
Bien sûr, vous devez d'abord configurer l'env localement. Vous pouvez le télécharger et l'installer sur votre localhost à partir du lien suivant: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
Voici Le pertinent allusion: https://github.com/hyprwired/mutillidae/blob/master/includes/hints-level-1/cascading-style-sheet-injection-hint.inc