Hackowanie CSS #81
Replies: 3 comments 5 replies
-
Wydaje mi się, że tego typu ataki dość utrudnia coraz szersze stosowanie CSP. W swoich najnowszych wersjach pozwala wycinać nie tylko skrypty czy style z niezaufanych źródeł, ale też wymuszać, by zasoby z konkretnych adresów przychodziły w nienaruszonym stanie poprzez sprawdzanie zasobu z jego hashem (tutaj CSP częściowo wysługuje się mechanizmem SRI). Tym samym istnieje szansa, że nawet jeśli ktoś nam wstrzyknie CSS, to albo arkusz zostanie niewczytany z powodu jego braku na whiteliście CSP, albo i tak nie doczyta fontów, bo adres serwera włamywacza i tak bedzie wycięty. No i warto też wspomnieć o tym, że Dodatkowo warto wspomnieć o mechanizmie Feature Policy, który pozwala wyłączyć te mechanizmy przeglądarki, których obecnie nie używamy. Na razie lista wyłączalnych rzeczy jest bardzo mała, ale i tak pozwala pozbyć się najbardziej kłopotliwych rzeczy. Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
Zdecydowanie tak i to mój błąd, że nie zawarłem ani jednego zdania na temat CSP w tym wpisie. W takim razie zrobię o tym kolejny artykuł ;) Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
Warto podawać źródło, z którego najpewniej czerpało się inspirację; Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
Dzięki za komentarz. We wpisie linkuję do tego artykułu, który podałeś ;) Ale to nie jest jedyne źródło informacji na podstawie których powstał ten wpis, m.in. pierwszego opisanego tutaj wektora ataku nie ma na sekuraku (tego z unicode-range). Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
Przepraszam- byłem nieuważny i tego nie zauważyłem ;) Sam artykuł łyknąłem jednak z dużym zainteresowaniem ;) z unicode-range faktycznie nie widziałem i sam nawet potestowałem u siebie lokalnie, bo faktycznie bardzo ciekawa rzecz Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
W takim razie będę kontynuował z innymi wpisami na temat takich ciekawostek ;) Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
XSS nie znaczy, inject javascript tylko cross-site scripting czyli wstrzykiwania zapytania do zewnętrznego serwera z poufnymi danymi, twój przykład z CSS też podchodzi pod XSS mimo że nie używa języka JavaScript. Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
Jest to ciekawe spojrzenie, aczkolwiek samo rozwinięcie skrótu XSS wskazuje, że chodzi o wykonywanie skryptów. CSS nie jest językiem skryptowym, chociaż tutaj trochę jest tak wykorzystywany… Komentarz zaimportowany z WordPressa |
Beta Was this translation helpful? Give feedback.
-
Hackowanie CSS
Numerem 1 podatności aplikacji internetowych wg. OWASP jest szerokopojęte „Injection”. Zazwyczaj kiedy o tym mówimy gdzieś z tyłu głowy mamy wyłącznie JavaScript i tylko XSS. A to przecież błąd 😲 W tym wpisie pokażę Ci jak można wykorzystać ciekawe elementy języka CSS do kradzieży wrażliwych danych z aplikacji ofiary.
https://typeofweb.com/hackowanie-css
Beta Was this translation helpful? Give feedback.
All reactions