Ne, v računalnik ne moremo vdreti direktno s pomočjo CSSja. CSS je namenjen oblikovanju HTML elementov in se uporablja za nadzor videza na strani. CSS pa lahko posredno pomaga pri hekanju.

CSS ni programski jezik in nima možnosti izvajanje kode, dostopati do sistema ali izvajati kakršnihkoli zlonamernih akcij. Vendar pa lahko CSS uporabimo v kombinacijami z drugimi tehnologijami, kot je JavaScript in HTMl za ustvarjanje ranljivosti, ki pa jih lahko izkoristimo za hekanje.

S katerimi metodami CSSja lahko posredno hekamo:

• CSS Injection: Če je spletna stran ali aplikacija ranljiva in lahko uporabnik vstavi svoj CSS brez ustrezne zaščite lahko slednjega uporabi za izvajanje zlonamerne namene, kot je kraja podatkov, ki temeljijo na CSS. Npr. lahko dobimo vsebino vnosnih polj, kot je uporabniško ime ali geslo. Ta metoda uporablja t.i. izločanje podatkov s pomočjo URL-jev slik, če uporabnik v vnosno polje vpiše črko a, to sproži klic na strežnik, kjer se zabeleži črka a, …
• CSS v kombinaciji z JavaScriptom: sam CSS ne more vdirati v sistem, lahko pa se združi z JavaScriptom za ustvarjanje bolj naprednih napadov, kot je lažno predstavljanje (phishing) ali vgrajevanje linkov (clickjacking). V praksi to pomeni, da s pomočjo CSSja stran prestavimo, kot lažno Gmail prijavno stran ali pa določene klike na gumbe/povezave preusmerimo na svoje cilje.
• Izkoriščanje ranljivosti brskalnika: V določenih primerih se lahko izkorišča slabo implementirane CSS funkcije ali pa hrošče v samem brskalniku. Slednje ni direktno hekanje, lahko pa povzroči nepričakovano vedenje brskalnika, ki pripelje do hekanja. Primer takega CSSja bi bil div {   width: 999…, kjer se 9 ponavlja v neskončnost, kar lahko povzroči težave v brskalniku.

Konec dneva sam CSS ni orodje za hekanje, vendar pa je lahko komponenta oz. del, ki se v kombinaciji z drugimi metodami uporablja za hekanje. Da se izognete takšnim težavam bodite pozorni na na povezave, spletne strani, URLje, preverjanje vnosa v vnosna polja, … skratka dobre varnostne prakse.