CSSファイルを意図的に変更することができます

Question

私たちのCSSファイルは、Webアプリケーション上の悪い俳優によって意図的に変更される可能性があることを知りました。

私たちはあなたの個人的なニュースでリンク（下記参照）を含むメールをクライアントに送信しています。 「提案」サイトは、ユーザーに推奨されるニュースを一覧表示する単一ページのWebアプリケーションです。 URLパラメータは、lang、css、およびproposalsです。 CSSはURLパラメータとして提供され、デフォルトのCSSに加えて読み込まれます。

https://somecompany.com/Suggestions/index.jsp?lang=en&css=https://www.test.com/style.css&proposals=RandomクライアントID //例えば12435

これは、添付のどのようなタイプですか？私は問題を緩和するためにオンラインでもっと多くの情報を見つけようとしていますが、少し失われています。これは、 "相対パスの上書き"攻撃か、 "Unvalidated redirects"攻撃か "Web Parameter Tampering"攻撃か、それ以外は何か？あなたの助けを事前にあなたより

Answer 1

おそらく誰かがXSSを意味しました。 css GETパラメータを（もしこれが非常に重大なセキュリティ上のリスクである場合）消さなければ、あるいはクライアントマシンを特定のサーバ（CSS varで指定されたサーバ）に接続させる可能性があるなら、 DDoS（またはそうでない可能性が高い）やその他の理由（これは実際には大きなリスクではありません）に使用してください。

もちろん、最も明らかなのは、ページの見た目を変えることです。非常に便利なように見えるかもしれませんが、たとえば、「アカウントを削除」ボタンを100％の幅に変更すると、100％あなたが望むものではありませんか？

Answer 2

「これはどのような種類の接続ですか？」これはGET文字列です。 GETを介してWebページに渡すものは、ユーザーが簡単に変更することができます。ブラウザの上部にあるURLバーに移動して値を変更するのは簡単です。

結論として、GETでもPOSTでも、CSSを実際に渡すべきではありません。第2の結論として、paramsをユーザーが編集できるようにしたくない場合（悪い俳優など）、GETではなくPOSTを使用します。絡んで二つの異なる潜在的な問題があります

Answer 3

：CSSが正しくサニタイズされていない場合（任意のGET/POST/WHATEVERパラメータと同様に）、その後、前述N00B @として

1. が、それは使用することができますサイトに悪意のあるコードを挿入する（同様のスタイルの悪意のあるフィッシングサイトにユーザーを誘導するなど）

2. 代わりに、CSSがサニタイズされていると、不快なユーザーがリンクを共有してランダムなスタイルシート - アプリケーションを改変するために使用される可能性があります（お客様の侮辱を誘う）

私の心配するもう1つのビット - あなたのクライアントIDは推測できるようです。他の人の「パーソナライズされた」ニュースにアクセスするためには、すべてを繰り返すだけです。