在Firefox浏览器中利用CSS窃取数据

来源:岁月联盟 编辑:猪蛋儿 时间:2020-02-16

此外,我还在GitHub上托管了PoC代码,攻击过程可参考此处视频。
有趣的是,由于我们使用的是HTTP/2,因此攻击过程非常快速,不到3秒就能获取到整个令牌。
 
0x05 总结
在本文中,我演示了如何利用1个注入点,在不想重载页面的情况下,通过CSS窃取数据。这里主要涉及2个要点:
1、将@import规则拆分成多个样式表,后续import不会阻塞浏览器对整个样式表的处理。
2、为了绕过TCP并发连接数限制,我们需要通过HTTP/2发起攻击。
 

上一页  [1] [2]