CSSXSS

いやぁ、久しぶりに結果のわかりやすい脆弱性というかなんというか、

@import
↓
document.styleSheets(0).imports(0).cssText;

imports対象が外部ドメインの場合、上記はアクセス拒否(CSSとしては問題なく適用。つまり書き出しのみ不可)なんで、GoogleDeskTopみたいにローカルで動くアプリを介するとき(Googleは既に対策済。念のため）くらいが問題かなーって思っていたら、Apache内部でredirectするとあっけなく取得可能。

値を取得できるページを見つけさえすれば、後はフィッシングサイトに誘導するのみ。
{　この括弧だけかと思っていたら　}
文字コードによっては抜き出せる場合もあるようだし。

しかし、サイト側はどう対応すればいいでしょうね？
影響を受けるかどうかを検証するのも大変な気が･･･