संभव डुप्लिकेट:
Cross Site Scripting in CSS Stylesheetsक्या एक्सएसएस हमले एक लिंक किए गए स्टाइलशीट के भीतर से किए जा सकते हैं?
मैं उन जुड़ा हुआ स्टाइलशीट (नहीं स्टाइल टैग एम्बेडेड) के माध्यम से अपने खुद के सीएसएस बनाने की अनुमति पर विचार कर रहा हूँ। क्या एक एक्सएसएस हमले स्टाइलशीट से किया जा सकता है?
धन्यवाद
Internet Explorer, Firefox और अन्य ब्राउज़रों में आप एक url() सीएसएस बयान में एक javascript: URL को निर्दिष्ट करके सीएसएस में जावास्क्रिप्ट एम्बेड कर सकते हैं।
भले ही आप इन्हें फ़िल्टर करने का प्रबंधन करते हैं, फिर भी हमलावर उन्नत सीएसएस के साथ पृष्ठ (इसकी सभी पाठ्य सामग्री सहित) को पूरी तरह से फिर से डिजाइन कर सकता है। इसलिए, उपयोगकर्ताओं को बेवकूफ कार्यों को निष्पादित करने के लिए चाल करना बेहद आसान हो जाता है, जो एक्सएसएस के बारे में है। उदाहरण के लिए, आप Delete Account बटन को पूरी विंडो भर सकते हैं और अपना टेक्स्ट "1000 $ जीतने के लिए यहां क्लिक करें" में बदल सकते हैं।
आप कर सकते हैं सफेद सूची कुछ चुनिंदा गुण (text-*, font-*, color, background (केवल रंग और ढ़ाल, कोई URL या अन्य फैंसी सामान)), लेकिन आप कुछ भी है कि इन प्रतिबंधों से मेल नहीं खाता अस्वीकार करना होगा ।
दिलचस्प सवाल। मैं स्टाइल शीट की कल्पना कर सकता हूं जिसमें तत्वों को हटाने या छिपाने की क्षमता है जो एक सुरक्षा समस्या हो सकती है। आप एक निश्चित तत्व के बाद टेक्स्ट भी सम्मिलित कर सकते हैं: इसके बाद और: इससे पहले कि आप इसके बारे में सावधान रहना चाहें।
वैकल्पिक रूप से मुझे लगता है कि आपको अपनी स्टाइल शीट पहले शामिल करनी चाहिए ताकि वे अचानक आपके सभी फ़ॉन्ट या कुछ वैश्विक रूप से परिवर्तित न हों।
स्टाइल शीट सहित पहले कोई प्रभाव नहीं पड़ता है, आप केवल उच्च प्राथमिकता वाले नियमों को परिभाषित कर सकते हैं। – phihag
यही वह है जो मैं कह रहा हूं एक अच्छी बात है। यदि दूसरा सीएसएस # फ़ू div है तो यह स्पष्ट है कि वे उन divs को लक्षित कर रहे हैं। हम इस दृष्टिकोण का उपयोग करते हैं ताकि हमारा डिफ़ॉल्ट सीएसएस अचानक नहीं बदला जा सके। –
मेरा मतलब था: ** हमलावर ** उच्च प्राथमिकता वाले नियमों को परिभाषित कर सकता है, बस चिपके हुए!हर मूल्य से पहले महत्वपूर्ण '। – phihag
वे पुराने हैक्स हैं लेकिन अभी भी पुराने ब्राउज़र में काम कर सकते हैं, उदाहरण के लिए आप href attr में जावास्क्रिप्ट प्रोटोकॉल डाल सकते हैं।
http://ha.ckers.org/xss.html (शैली के लिए खोज)
संभवतः सबसे खराब आईई कभी किया था। –
@ एमीर रामिनफर: मुझे लगता है कि आईई ने सही काम करने के लिए यह एक छोटी सूची होगी। मैं शुरू करूंगा: मुझे एक वास्तविक ब्राउज़र डाउनलोड करने की अनुमति देता है। – Robert
क्या कुछ सीएसएस कीवर्ड हैं जो मैं निष्पादन को रोकने और नई सामग्री वाले तत्वों को भरने के लिए ब्लैकलिस्ट कर सकता हूं? – Tom