不要なCSSを投稿に投稿

Question

私たちの一部のユーザーは、自分の知らないうちに自分の投稿にCSSを挿入しています。このCSSは広告に関連しているように見え、ワードプロセッサでは生成されず、cssとhtmlだけで構成されます。以下はその例です：

.adslot-overlay 
{ 
    position:absolute; 
    font-family:arial, sans-serif; 
    background-color:rgba(0,0,0,0.65); 
    border:2px solid rgba(0,0,0,0.65); 
    color:#FFF!important; 
    z-index:2147483647; 
    text-decoration:none; 
    box-sizing:border-box; 
    text-align:left; 
    margin:0; 
} 

.adslot-overlay-iframed 
{ 
    top:0; 
    left:0; 
    right:0; 
    bottom:0; 
} 

.slotname 
{ 
    position:absolute; 
    top:0; 
    left:0; 
    right:0; 
    font-size:13px; 
    font-weight:700; 
    vertical-align:middle; 
    background-color:rgba(0,0,0,0.45); 
    text-overflow:ellipsis; 
    white-space:nowrap; 
    overflow:hidden; 
    padding:3px 0 3px 6px; 
} 

.slotname span 
{ 
    text-align:left; 
    text-decoration:none; 
    text-transform:capitalize; 
} 

.revenue 
{ 
    position:absolute; 
    bottom:0; 
    left:0; 
    right:0; 
    font-size:11px; 
    vertial-align:middle; 
    text-align:left; 
    background-color:rgba(0,0,0,0.45); 
    font-weight:700; 
    text-overflow:ellipsis; 
    overflow:hidden; 
    white-space:nowrap; 
    padding:3px 0 3px 6px; 
} 

.revenue .name 
{ 
    color:#ccc; 
} 

.revenue .horizontal .metric 
{ 
    display:inline-block; 
    padding-right:1.5em; 
} 

.revenue .horizontal .name 
{ 
    padding-right:.5em; 
} 

.revenue .vertical .metric 
{ 
    display:block; 
    line-height:1.5em; 
    margin-bottom:.5em; 
} 

.revenue .vertical .name,.revenue .vertical .value 
{ 
    display:block; 
} 

.revenue .square .metric,.revenue .button .metric 
{ 
    display:table-row; 
} 

.revenue .square .metric 
{ 
    line-height:1.5em; 
} 

.revenue .square .name,.revenue .square .value,.revenue .button .value 
{ 
    display:table-cell; 
} 

.revenue .square .name 
{ 
    padding-right:1.5em; 
} 

.revenue .button .name 
{ 
    display:block; 
    margin-right:.5em; 
    width:1em; 
    overflow:hidden; 
    text-overflow:clip; 
} 

.revenue .button .name:first-letter 
{ 
    margin-right:1.5em; 
} 

a.adslot-overlay:hover 
{ 
    border:2px solid rgba(58,106,173,0.9); 
} 

a.adslot-overlay:hover .slotname 
{ 
    border-bottom:1px solid rgba(81,132,210,0.9); 
    background-color:rgba(58,106,173,0.9); 
} 

a.adslot-overlay:hover .revenue 
{ 
    border-top:1px solid rgba(81,132,210,0.9); 
    background-color:rgba(58,106,173,0.9); 
} 

div.adslot-overlay:hover 
{ 
    cursor:not-allowed; 
    border:2px solid rgba(64,64,64,0.9); 
} 

div.adslot-overlay:hover .slotname 
{ 
    border-bottom:1px solid rgba(128,128,128,0.9); 
    background-color:rgba(64,64,64,0.9); 
} 

div.adslot-overlay:hover .revenue 
{ 
    border-top:1px solid rgba(128,128,128,0.9); 
    background-color:rgba(64,64,64,0.9); 
} 

私はインターネットの検索を行っており、これについての説明はありません。私が得るすべては、次のような類似したCSSを使用した他の複数のサイトです：

http://www.greenbiz.com/video/2012/02/24/john-donahoe-conversation-joel-makower

http://bloggers.com/posts/tamilactressbook-47592（全ての投稿）

非常に多くの広告スクリプトがあるので、このCSSは、JavaScriptを介して注入されていることと思われますポスティング・メカニズムがtinymceのようなwysiwygエディタを使用することを確認してください。ブラウザに関連している可能性があり、アドオンに依存している可能性があります。この段階では、それは謎であり、誰かがそれを見つけたのか疑問に思っています。

Answer 1

Lyndsyは、Google Publisher Toolbarが原因であることは間違いありません。 GPTは広告の統計情報などを作成してオーバーレイし、そのためのCSSがテキストエディタに挿入されます。投稿を作成/編集するときは無効にしてください。

Answer 2

CSSを挿入したタイミングと、データベース内のすべての場所を特定できるかどうかを確認する必要があります。いくつかのシナリオがあります。第1に、問題のブログソフトウェアには、それが注入される可能性があるエクスプロイトがあるかもしれません。それがWebサイトに対して直接SQLインジェクション攻撃を行っている場合、そのCSSコードはどこにでもある可能性があります。私は数年前、そのサイトの1つで悪用された会社で働いていました。私は、注入するSQLコードが非常に巧妙であったことを認めなければなりません。基本的には、任意のテキスト（varchar/text）フィールドを持つ行がある場合は、javascriptスニペット（またはその一部）がすべてのフィールドに挿入されます。

ユーザーが投稿したときに注入されるのは、われわれが知っているすべての理由で、それはいくつかの要因の結果である無害なものである可能性があります。簡潔のために編集

<meta name="description" content="eBay's CEO John Donahoe explores the business case for sustainable consumption, addressing the unique opportunities and roles of big business, small business, and technology in driving this shift. 


.adslot-overlay {position: absolute; ..."> 

内容：私は最初のページからご覧ください興味深いことで

はそれがmeta説明はまた、CSSが含まれているということです。

私は、何らかの自動化されたSQLインジェクション攻撃を検討していると思っています。

なぜCSSですか？まあ、私はこれも別の攻撃と併用しなければならないと思っています（何とかそれが私がまだ特定していない同じ攻撃の一部でない限り）。私たちはcssから.adslot-overlayが絶対的に配置されていることを知ることができ、z-indexはz-index: 2147483647;であると私は設定できる限り高いと思います。そのコードが実際にスタイルタグやCSSファイルにリンクされている場合は、ページをオーバーレイするために実際に使用されるクラスを持つコンテンツと組み合わせて使用​​することができ、ウェブページが広告をしているように見せます。

ここでは、私はここでたくさんの仮定をしていることを認めなければなりません。おそらくそれらのいくつかは真実ではありません。あなたは穴（ごめん）プラグたら

データベースがクリーンアップの多くを必要としている、

1. ブログソフトウェアが攻撃可能である：何そう真では、ということです。

Answer 3

私は昨日それを体験し始めました。私は "公開"を押すとすぐにすべての投稿に挿入されます。それを修正する方法の答えを探してあなたのポストを見つけました。ありがとうございました

更新：私はすべてのファイルを流し込み、何か疑わしいものは見つけられませんでした。私がこの出来事に先立ってやったことは、私が考えていた唯一のことは、「スケッチ」なコメントを承認することでした。

残念ながら、問題を解決するための科学的アプローチはありませんでした。私は使用していたブラウザウィンドウを閉じ、別のウィンドウで自分のブログを開き、承認されたコメントをごみ箱に移動しました。

私はテストポストを実行しましたが、「ガベージ」は私の投稿にはもう登場しません。この問題を探している他の人のために更新したいだけでした。

Answer 4

私はこれを理解したと思います。 Chrome拡張機能のGoogle Publisher Toolbarが原因です。

これは攻撃ではなくバグです。

GPTを有効にすると、jsFiddleを読み込むたびにそのCSSが貼り付けられます。無効にすると、もう一度問題は発生しませんでした。

Answer 5

あなたは正しいです！問題はGoogleツールバーから発生します。私は匿名のChromeと試してみましょう、とprumbblem desapear！

Answer 6

ありがとうございました。これについての他の報告がありました。私は週末までに2.3になる予定です。