CSS injection

web hacking

Las Inyecciones CSS (CSSI) son un tipo de vulnerabilidad web que permite a un atacante inyectar código CSS malicioso en una página web. Esto ocurre cuando una aplicación web confía en entradas no confiables del usuario y las utiliza directamente en su código CSS, sin realizar una validación adecuada.

• El impacto de este ataque puede desencadenar una alteración del diseño de la pagina o un vector de entrada para ataques XSS, los cuales tienen consecuencias aun mas graves.

podemos empezar a buscar CSSI en funciones como entradas de texto que permitan manejar css de forma supuestamente segura.

CSSI básica a XSS

en estilos CSS que apliquen "style" podemos intentar explotarlas

ejemplo de codigo vulnerable:

<style>
        p.colorful {
    color: green
    }
</style>

este define un color para los elementos con clase colorful, si esto podemos controlarlo por inputs es posible hacer algo como esto:

blue}</style><script>

estamos abriendo una etiqueta XSS y de ahi podemos inyectar codigo.