Read data from web via CSS Injection

Introduction CSS Injection은 간단히 말해서 웹 페이지에 CSS를 임의로 삽입하는 방식의 공격입니다. 웹 브라우저에 따라서는 CSS를 통해 JavaScript를 실행시킬 수 있는 경우도 있어, XSS (Cross Site Scripting)으로 연계될 수도 있습니다. 사실 예전엔 고작 CSS를 삽입하는 것만으로 무슨 공격을 할 수 있나 싶었습니다만, 올 해(2018년) 초에 Harekaze CTF에서 출제된 CSS Injection 관련 문제를 풀다보니 알게 되었습니다. 바로 CSS Injection을 통해 해당 페이지 내의 값을 읽을 수 있다는 것입니다. How [Read More]