Inyección de CSS: ¿qué es lo peor que puede pasar?

Estamos haciendo una evaluación de security.

Existe la posibilidad de que un usuario malintencionado pueda inyectar CSS arbitrario en las páginas web de otro usuario, aunque no estamos seguros de que realmente pueda ser explotado.

Entiendo que podría cambiar por completo el aspecto de la página, incluso sin causar que se muestre nada. ¿Eso es todo? ¿Qué es lo peor que podría pasar? ¿Puede JavaScript insertse en CSS? ¿Puede "robar" las cookies del otro usuario? E iniciar otra session?

Eche un vistazo aquí:

  • Ultimate XSS CSS inyección
  • Inyecciones de HTML / CSS: código malicioso primitivo (o, ¿qué es lo peor que podría pasar?)
  • XSS Prevention Cheat Sheet en OWASP

Sí a todo lo anterior. La inyección de CSS arbitrario puede conducir a la ejecución de javascript. Mirar:

  • XSS Cheat Sheet

Lo peor que podría pasar depende del medio ambiente. En algunos casos, robar una cookie de session y acceder a la session de los usuarios puede ser lo peor (p. Ej., Bancos, comercio de acciones en línea), puede que este no sea el caso para su situación. Otros ejemplos de ataques serían get control del browser, get acceso a la máquina del cliente, etc.