Может ли CSS файл содержать вредоносный код?

Question

[dollar]

Например, если подключить так:

<link rel="stylesheet" href="http://evil.com/styles.css">

В частности, может ли атрибут style содержать вредоносный код?
<span style="..."> </span>

То есть если я подключаю на сайт css неизвестных мне людей, могут ли они получить доступ к данным на сайте? Может, возможно как-то поместить код JS в стили? Или же обеспечить отправку данных с сайта через внешний URL в стилях? Или ещё что-то?

Comments

[Moskus]

Через атрибут style внешние css-файлы не подключаются.
Если вы подключите файл, находящийся на удпленном сервере, через элемент link, посторонние люди смогут узнать, о том, с какой страницы будет поступать http-запрос, ну и всё, что этому сопутствует.

Answer 1

[Ivan Bogachev]

Например, если подключить так:

<link rel="stylesheet" href="http://evil.com/styles.css">

На CSS можно сделать недокейлоггер, который даст информацию о том, что пользователь начинает вводить (повторы одного и того же символа уже не срабатывают).

Можно отсылать себе информацию о том, куда пользователь нажимает - ссылки, чекбоксы, даже продолжительность наведения мыши на тот или иной объект. Можете посмотреть примеры вот тут. Я сам не все идеи оттуда проверял, но те, что проверял - работают. Собственно эту всю фигню очень любят в письмах использовать, но никто не мешает и на сайте внедрить.

Можно издеваться над "отключением" кнопок (pointer-events к примеру поменять) или вообще скрыть какие-то важные блоки и пользователи не смогут нормально пользоваться сайтом. Для какого-нибудь магазина - это полный фейл как вы понимаете. Причем, в отличии от полного дефейса, пользователи могут даже не понять, что что-то не так.

Answer 2

[Александр Суханов]

Ну как минимум можно хорошо поменять вашу страницу сайта.

body {
position: absolute!important;
left: -10000px!important;
}
body::after {
position: fixed!important;
top: 30px!important;
left: 30px!important;
content: "ПРИВЕТ"!important;
}

Comments

[dollar]

Теги script так не вставить :)
Да вообще никакие теги не распознаются.

Answer 3

[frees2]

Ничем не лучше и не хуже любого тестового файла. Прописать на сервере php вставить туда js, к примеру.

Answer 4

[Anubis]

Единственное, что может быть вредоносным в подключаемом через link стилевом файле - его гигантский размер

Comments

[krundetz]

К сожалению вы не правы (((

Answer 5

[Андрей Федоров]

Вредоносный код может css может содержать - в кодировке base64, но воспользоваться им нетривиальная задача. По меньшей мере вашим данным на сервере ничего не угрожает. Под теоретической угрозой пользователи сайта.

Comments

[dollar]

То есть пользовательские данные на сайте (куки) под угрозой?
Можно пример?

[Андрей Федоров]

dollar, я этого не говорил. вы можете хоть .exe файл закодировать в base64. А в css написать background-image: url(<код в кодировке base64>). Т.е. css содержит вредоносный код. Как этот код запустить я не знаю, но вероятно есть методы...

еще вот такая мысль пришла, сторонний css может содержать конструкцию:
</style><script>...</script><style>
тогда при вставке inline-css вы получите сторонний js-код в своем html.

[krundetz]

При неправильной настройке вашего сервера, и если сторонний css файл размещен на этом сервере, его можно и запустить, а он может содержать внутри и php.

Методология такая же.

Answer 6

[Кирилл Несмеянов]

Внутрь css можно встраивать JS для IE и FF.

body {
  behavior:url(script.htc);
}

// ....

<public:component tagname="xss">
   <public:attach event="ondocumentready" onevent="main()" literalcontent="false" />
</public:component>
<script>
function main() {
    alert("HTC script executed.");
}
</script>

body {
  -moz-binding: url(script.xml#mycode);
}

// ....

<?xml version="1.0"?>
<bindings xmlns="http://www.mozilla.org/xbl" xmlns:html="http://www.w3.org/1999/xhtml">
    <binding>
        <implementation>
            <constructor>
                alert("XBL script executed.");
            </constructor>
        </implementation>
    </binding>
</bindings>

Так что в теории, любые куки без флагов http-only могут улететь на сторонний сайт.

Comments

[dollar]

Вы взяли эту информацию отсюда, но там же сказано, что она устарела.
Сейчас эти хаки не работают ни в одном браузере.

[Кирилл Несмеянов]

dollar, всё верно. Но чисто теоретически можно погуглить на тему XSL/XSLT. Помимо этого JS можно всунуть внутрь SVG.

Т.е. да, приведённые мною варианты (я не читал ответы, просто погуглил и отформатировал нормально) возможно и устарели, но есть и другие аналогичные.

Answer 7

[krundetz]

Как и в любом программном продукте, в браузере могут быть ошибки. Например ошибки приводящие к переполнению буфера. Поэтому злоумышленники могут использовать css для этих целей, да и любой другой контент.