CSS эксплуатируется для кражи пользовательских данных

За последнее время исследователи представили нашему вниманию множество способов кражи данных при помощи CSS кода. Различные техники позволяют отследить пользователя на веб-сайте, осуществлять кражу информации на тех же ресурсах, а также деанонимизировать пользователей Тор.

Ян Бемер (немецкий исследователь) разработал способ слежки за действиями пользователей без эксплуатации JavaScript. Для выполнения данного действия, требуется только CSS. Метод позволяет получить такие данные, как разрешение экрана, используемый браузер, системные шрифты, элементы на которые наводится курсор.

Дилан Эйри (независимый исследователь) обнародовал свои результаты по CSS. Дилан подробно описал метод, который позволяет злоумышленнику похищать CSRF-токены для аутентификации. Данный метод работает исключительно на ресурсах и приложениях, которые хранят CSRF-токены в атрибутах HTML-элементов.

CSS Exfil - техника разработанная исследователем Майком Гуальтьери. Данный способ позволяет заполучить пароли, которые указаны в полях форм. Майк утверждает, что используя CSS, злоумышленник может получить полный контроль над ресурсом.

CSS (Cascading Style Sheets, каскадные таблицы стилей) - технология описания внешнего вида документа, оформленного языком разметки. В основном применяется как средство оформления web-страниц в формате HTML и XHTML, но также может применяться с любыми видами документов в формате XML, включая SVG и XUL.