1. 首頁
  2. 問答
  3. 注入帖子的不需要的css

注入帖子的不需要的css

2012-04-03 44 views
3

我們的一些用戶在他們不知情的情況下插入了他們的帖子。這個CSS似乎是廣告相關的,並不是由一個字處理器生成的,只包含CSS和無html。下面是一個例子:注入帖子的不需要的css

.adslot-overlay 
{ 
    position:absolute; 
    font-family:arial, sans-serif; 
    background-color:rgba(0,0,0,0.65); 
    border:2px solid rgba(0,0,0,0.65); 
    color:#FFF!important; 
    z-index:2147483647; 
    text-decoration:none; 
    box-sizing:border-box; 
    text-align:left; 
    margin:0; 
} 

.adslot-overlay-iframed 
{ 
    top:0; 
    left:0; 
    right:0; 
    bottom:0; 
} 

.slotname 
{ 
    position:absolute; 
    top:0; 
    left:0; 
    right:0; 
    font-size:13px; 
    font-weight:700; 
    vertical-align:middle; 
    background-color:rgba(0,0,0,0.45); 
    text-overflow:ellipsis; 
    white-space:nowrap; 
    overflow:hidden; 
    padding:3px 0 3px 6px; 
} 

.slotname span 
{ 
    text-align:left; 
    text-decoration:none; 
    text-transform:capitalize; 
} 

.revenue 
{ 
    position:absolute; 
    bottom:0; 
    left:0; 
    right:0; 
    font-size:11px; 
    vertial-align:middle; 
    text-align:left; 
    background-color:rgba(0,0,0,0.45); 
    font-weight:700; 
    text-overflow:ellipsis; 
    overflow:hidden; 
    white-space:nowrap; 
    padding:3px 0 3px 6px; 
} 

.revenue .name 
{ 
    color:#ccc; 
} 

.revenue .horizontal .metric 
{ 
    display:inline-block; 
    padding-right:1.5em; 
} 

.revenue .horizontal .name 
{ 
    padding-right:.5em; 
} 

.revenue .vertical .metric 
{ 
    display:block; 
    line-height:1.5em; 
    margin-bottom:.5em; 
} 

.revenue .vertical .name,.revenue .vertical .value 
{ 
    display:block; 
} 

.revenue .square .metric,.revenue .button .metric 
{ 
    display:table-row; 
} 

.revenue .square .metric 
{ 
    line-height:1.5em; 
} 

.revenue .square .name,.revenue .square .value,.revenue .button .value 
{ 
    display:table-cell; 
} 

.revenue .square .name 
{ 
    padding-right:1.5em; 
} 

.revenue .button .name 
{ 
    display:block; 
    margin-right:.5em; 
    width:1em; 
    overflow:hidden; 
    text-overflow:clip; 
} 

.revenue .button .name:first-letter 
{ 
    margin-right:1.5em; 
} 

a.adslot-overlay:hover 
{ 
    border:2px solid rgba(58,106,173,0.9); 
} 

a.adslot-overlay:hover .slotname 
{ 
    border-bottom:1px solid rgba(81,132,210,0.9); 
    background-color:rgba(58,106,173,0.9); 
} 

a.adslot-overlay:hover .revenue 
{ 
    border-top:1px solid rgba(81,132,210,0.9); 
    background-color:rgba(58,106,173,0.9); 
} 

div.adslot-overlay:hover 
{ 
    cursor:not-allowed; 
    border:2px solid rgba(64,64,64,0.9); 
} 

div.adslot-overlay:hover .slotname 
{ 
    border-bottom:1px solid rgba(128,128,128,0.9); 
    background-color:rgba(64,64,64,0.9); 
} 

div.adslot-overlay:hover .revenue 
{ 
    border-top:1px solid rgba(128,128,128,0.9); 
    background-color:rgba(64,64,64,0.9); 
}

我已經做了互聯網搜索,並看不到任何解釋。我得到的多個其他網站類似CSS如下列:

http://www.greenbiz.com/video/2012/02/24/john-donahoe-conversation-joel-makower

http://bloggers.com/posts/tamilactressbook-47592(每一個崗位)

這似乎是這個CSS是通過JavaScript注入,既然有這麼多的廣告腳本js和發佈機制使用wysiwyg編輯器,如tinymce。它可能與瀏覽器有關,可能依賴於附加組件。在這個階段,這是一個謎,我想知道是否有其他人遇到它。

來源

2012-04-03 NewZeal

+0

你可以用類似[this](http://www.codebeautifier.com/)來美化css代碼嗎? – cctan 2012-04-03 01:25:33

回答

1

Lyndsy對Google Publisher Toolbar是罪魁禍首是正確的。 GPT創建並覆蓋廣告統計等,並以某種方式將CSS插入到文本編輯器中。創建/編輯帖子時關閉它。

來源

2012-04-19 12:51:15

1

您需要查看是否可以隔離何時注入CSS以及可以在數據庫中找到所有可能的位置。有幾種情況。首先,相關博客軟件可能會有可能允許注入的漏洞。如果它是直接針對網站的SQL注入攻擊,那麼CSS代碼可能無處不在。幾年前,我在一家公司工作,在其中一個網站上有漏洞利用,我不得不承認,要注入的sql代碼非常聰明。基本上,如果您有任何文本(varchar/text)字段的任何行,則會將JavaScript片段(或其中的一部分)插入到所有這些字段中。

如果只是在用戶發佈的時候注入,那麼對於我們所知道的全部情況來說,這可能是由於幾個因素造成的無害。

在我從第一頁看到有趣的事情是,它的meta說明還包含CSS:

<meta name="description" content="eBay's CEO John Donahoe explores the business case for sustainable consumption, addressing the unique opportunities and roles of big business, small business, and technology in driving this shift. 


.adslot-overlay {position: absolute; ...">

內容編輯爲簡潔

所以我在想我們正在尋找某種自動化的sql注入攻擊。

現在爲什麼是css?那麼,我也認爲這必須與另一次攻擊結合使用(除非它是我尚未識別的同一次攻擊的一部分)。我們可以從css中看到.adslot-overlay是絕對定位的,而且它的z-index是z-index: 2147483647;,我認爲它的設置和它可以設置的一樣高。如果該代碼實際上將其轉換爲樣式標記或鏈接到css文件,則該代碼可以與實際具有用於覆蓋頁面的類的內容結合使用,從而使其看起來像網頁正在廣告通用偉哥或任何其他內容

現在,我不得不承認我在這裏做了一些假設,可能其中一些假設不正確。什麼可能真的是:

  1. 您的博客軟件是利用,
  2. 數據庫將需要清理的很多,一旦你堵塞漏洞(對不起)。

來源

2012-04-03 01:49:49 JayC

1

我昨天開始體驗它。只要我點擊「發佈」,它會插入到每個帖子中。尋找如何解決它的問題,並遇到您的文章。謝謝

更新:我花了幾個小時澆注我所有的文件,並找不到任何可疑的東西。我能想到的是,在這之前我做的唯一事情就是批准一些「粗略」的評論。

不幸的是我沒有采取科學的方法來解決這個問題。我關閉了我正在使用的瀏覽器窗口,在另一個窗口中打開了我的博客,並將這些批准的評論移至垃圾箱。

我跑了一個測試帖子,「垃圾」沒有出現在我的帖子了。只是想要更新搜索此問題的其他人。

來源

2012-04-13 17:14:19 connie

0

我相信我有這個想法。這是由Chrome擴展程序Google Publisher Toolbar引起的。

這是一個錯誤,而不是攻擊。

啓用GPT後,幾乎每次加載jsFiddle時,都會粘貼該CSS。一旦禁用了它,我就再也沒有問題了。

來源

2012-04-16 19:09:09

+0

爲什麼我低估了這一點,有人捍衛我,並接受了接受的答案? – 2012-06-15 16:26:08

0

你是對的!問題來自Google工具欄。我嘗試使用匿名瀏覽器和徽章desapear!

來源

2012-04-20 07:33:48

0

謝謝。我們還有其他的報道。我正在修復現在在本週末的2.3版本。

來源

2012-05-24 15:53:01

相關問題

 相關問題