是否可以在CSS样式表中使用跨站脚本?例如,引用样式表包含恶意代码,你会怎么做?我知道你可以使用样式标签,但样式表呢?
ccgok5k51#
浏览器安全手册执行JavaScript的风险。作为一个鲜为人知的特性,一些CSS实现允许将JavaScript代码嵌入样式表中。至少有三种方法可以实现此目标:使用表达式(.)指令,它提供了计算任意JavaScript语句并将其值用作CSS参数的能力;通过使用url('javascript:...')指令;或者通过调用特定于浏览器的特性,如-moz-binding mechanism of Firefox。.在阅读之后,我在StackOverflow上找到了这个。请参阅在CSS中使用Javascript在Firefox中,您可以使用XBL通过CSS在页面中注入JavaScript。然而,XBL文件必须驻留在同一个域中,现在bug 324253 is fixed。还有另一种有趣的滥用CSS的方式(尽管与你的问题不同)。参见http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html。本质上,你滥用CSS解析器从不同的域窃取内容。
llycmphe2#
OWASP Mutillidae项目在http://localhost/mutilidae/index. php?page = set-background-color.php页上有一个级联样式注入漏洞示例当然,您需要先在本地设置环境。您可以从以下链接下载并在本地主机上设置它:https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project以下是相关提示:https://github.com/webpwnized/mutillidae/blob/main/includes/hints/cascading-style-sheet-injection-hint.inc
2条答案
按热度按时间ccgok5k51#
浏览器安全手册
执行JavaScript的风险。作为一个鲜为人知的特性,一些CSS实现允许将JavaScript代码嵌入样式表中。至少有三种方法可以实现此目标:使用表达式(.)指令,它提供了计算任意JavaScript语句并将其值用作CSS参数的能力;通过使用url('javascript:...')指令;或者通过调用特定于浏览器的特性,如-moz-binding mechanism of Firefox。
.在阅读之后,我在StackOverflow上找到了这个。请参阅在CSS中使用Javascript在Firefox中,您可以使用XBL通过CSS在页面中注入JavaScript。然而,XBL文件必须驻留在同一个域中,现在bug 324253 is fixed。
还有另一种有趣的滥用CSS的方式(尽管与你的问题不同)。参见http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html。本质上,你滥用CSS解析器从不同的域窃取内容。
llycmphe2#
OWASP Mutillidae项目在http://localhost/mutilidae/index. php?page = set-background-color.php页上有一个级联样式注入漏洞示例
当然,您需要先在本地设置环境。您可以从以下链接下载并在本地主机上设置它:https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
以下是相关提示:https://github.com/webpwnized/mutillidae/blob/main/includes/hints/cascading-style-sheet-injection-hint.inc