這篇文章主要講解了“怎么利用CSS注入竊取CSRF令牌”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“怎么利用CSS注入竊取CSRF令牌”吧！

啟東網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站開發(fā)等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營維護(hù)。創(chuàng)新互聯(lián)公司成立于2013年到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

CSS相信大家不會(huì)陌生，在百度百科中它的解釋是一種用來表現(xiàn)HTML（標(biāo)準(zhǔn)通用標(biāo)記語言的一個(gè)應(yīng)用）或XML（標(biāo)準(zhǔn)通用標(biāo)記語言的一個(gè)子集）等文件樣式的計(jì)算機(jī)語言。那么，它僅僅只是一種用來表示樣式的語言嗎？當(dāng)然不是！其實(shí)早在幾年前，CSS就已被安全研究人員運(yùn)用于滲透測試當(dāng)中。這里有一篇文章就為我們詳細(xì)介紹了一種，使用屬性選擇器和iFrame，并通過CSS注入來竊取敏感數(shù)據(jù)的方法。但由于該方法需要iFrame，而大多數(shù)主流站點(diǎn)都不允許該操作，因此這種攻擊方法并不實(shí)用。

這里我將為大家詳細(xì)介紹一種不需要iframe且只需10秒，就能為我們有效地竊取CSRF token的方法

一旦用戶的CSRF token被竊取，由于受害者已經(jīng)在攻擊者的網(wǎng)站上，因此攻擊者可以繼續(xù)攻擊并完成對(duì)用戶的CSRF攻擊操作。

背景

正如原文所描述的那樣，CSS屬性選擇器開發(fā)者可以根據(jù)屬性標(biāo)簽的值匹配子字符串來選擇元素。 這些屬性值選擇器可以做以下操作：

• 如果字符串以子字符串開頭，則匹配

• 如果字符串以子字符串結(jié)尾，則匹配

• 如果字符串在任何地方包含子字符串，則匹配

屬性選擇器能讓開發(fā)人員查詢單個(gè)屬性的頁面HTML標(biāo)記，并且匹配它們的值。一個(gè)實(shí)際的用例是將以“https://example.com”開頭的所有href屬性變?yōu)槟撤N特定的顏色。

而在實(shí)際環(huán)境中，一些敏感信息會(huì)被存放在HTML標(biāo)簽內(nèi)。在大多數(shù)情況下CSRF token都是以這種方式被存儲(chǔ)的：即隱藏表單的屬性值中。

這使得我們可以將CSS選擇器與表單中的屬性進(jìn)行匹配，并根據(jù)表單是否與起始字符串匹配，加載一個(gè)外部資源，例如背景圖片，來嘗試猜測屬性的起始字母。

通過這種方式，攻擊者可以進(jìn)行逐字猜解并最終獲取到完整的敏感數(shù)值。

想要解決這個(gè)問題受害者可以在其

沒有后端服務(wù)器

在CureSec的文章中描述了將數(shù)據(jù)傳輸?shù)胶蠖朔?wù)器，但由于CSRF是針對(duì)客戶端的攻擊，因此如果我們能想出一種不需要服務(wù)器的方法，那么就可以為我們節(jié)省大量的開銷和簡化我們的操作。

為了接收受害者客戶端加載資源，我們可以利用Service Workers來攔截和讀取請(qǐng)求數(shù)據(jù)。Service Workers目前只適用于同源請(qǐng)求，在我的演示中受害者和攻擊者頁面已處于同一源上。

不過不久后，chrome很可能會(huì)合并這個(gè)實(shí)驗(yàn)性的功能，允許Service Workers攔截跨域請(qǐng)求。

這樣，就可以確保我們在客戶端的攻擊100%的執(zhí)行，并強(qiáng)制用戶在10秒內(nèi)點(diǎn)擊鏈接執(zhí)行CSRF攻擊，演示如下：

Demo

如上所述，因?yàn)槲也⒉幌脒\(yùn)行一個(gè)web服務(wù)器，所以我使用service workers攔截和模擬服務(wù)器端組件。目前，該演示只適用于Chrome瀏覽器。

首先，我創(chuàng)建了一個(gè)易受攻擊的目標(biāo)，它存在一個(gè)基于DOM的CSS注入漏洞，并在頁面放置了一個(gè)敏感token。我還對(duì)腳本標(biāo)簽添加了一些保護(hù)措施，對(duì)左尖括號(hào)和右尖括號(hào)進(jìn)行了編碼。

接下來，我們將強(qiáng)制加載受害者的CSS，并且使用上述方法，可一次竊?。ú陆猓┮粋€(gè)敏感字符。

在接收端，我已經(jīng)定義了一個(gè)攔截請(qǐng)求的service worker，并通過post-message將它們發(fā)送回域，然后我們將token存儲(chǔ)在本地存儲(chǔ)中以供后續(xù)使用。你也可以想象一個(gè)后端Web服務(wù)器，通過Web套接字或輪詢將CSRF token回發(fā)給攻擊者域。

目前該測試僅支持CHROME：

demo

如果你的瀏覽器支持的話，只需點(diǎn)擊打開頁面任意位置，你將看到CSRF token將逐一被猜解出來。

結(jié)語

有趣的是，反射型CSS注入實(shí)際上比存儲(chǔ)型CSS注入更致命，因?yàn)榇鎯?chǔ)型CSS注入需要一個(gè)服務(wù)器在受害者渲染之前來更新CSS。

一段時(shí)間以來，CSS注入在嚴(yán)重程度上來回變化。過去IE瀏覽器是允許用戶在CSS中執(zhí)行Javascript代碼的。這個(gè)演示也從某種程度上表明了CSS注入，以及在你的域上渲染不受信任的CSS仍會(huì)導(dǎo)致嚴(yán)重的安全問題。

感謝各位的閱讀，以上就是“怎么利用CSS注入竊取CSRF令牌”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)怎么利用CSS注入竊取CSRF令牌這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！