喜马拉雅
火狐狸
火狐狸
  • UID55837
  • 注册日期2017-07-22
  • 最后登录2019-07-18
  • 发帖数97
  • 经验109枚
  • 威望0点
  • 贡献值86点
  • 好评度6点
  • 社区居民
  • 忠实会员
阅读:350回复:2

请教,关于 CSS Exfil Protection 扩展

楼主#
更多 发布于:2019-04-04 14:08
我是看这篇文章,知道的:https://www.appinn.com/css-exfil-protection/

楼主是技术小白+纯外行,技术细节也看不懂,所以如果说错,请大家宽容,纠正就好了

我感觉,如果真有安全风险,难道不应该 浏览器厂商 和 网站方 去修补吗?
不可能把安全重任,寄希望于用户安装一个扩展上吧?
那那些没有及时收到提醒的用户,难道就暴露于危险之下吗?
从这个理由上说,不可能啊。
所以我觉得,只要不随便点击陌生链接、访问危险网站,那么,不安装这个扩展,应该也没问题吧?

有专家大佬能用 Explain Like I'm 5 的程度,解释下这个攻击是怎么一回事吗?这个扩展有必要安装吗?谢谢
death_boy
小狐狸
小狐狸
  • UID35917
  • 注册日期2011-04-08
  • 最后登录2019-06-18
  • 发帖数19
  • 经验28枚
  • 威望0点
  • 贡献值0点
  • 好评度2点
  • 社区居民
  • 忠实会员
1楼#
发布于:2019-04-04 15:51
没必要安装。

看了一下说明
https://www.mike-gualtieri.com/posts/stealing-data-with-css-attack-and-defense
利用css选择器枚举你输入的字符,然后调用第三方服务器的文件使其知道你的密码,一种xss攻击。更多的是网页被篡改的结果,跟用户端关系不大。不过说白了网页被改动过你还要登陆也用不着这个办法偷你的账户。

PS: firefox 66.0.3+uBo表示根本看不见那个测试页面的图片
taoww
狐狸大王
狐狸大王
  • UID39284
  • 注册日期2013-03-18
  • 最后登录2019-07-18
  • 发帖数449
  • 经验404枚
  • 威望0点
  • 贡献值94点
  • 好评度69点
2楼#
发布于:2019-04-04 20:56
这是css规范允许的行为,而浏览器遵照了css规范,自然也允许这种攻击发生。
攻击能成立的另一个原因是网站自身的设计存在问题/隐患。比如本站,个人设置里的各种个人信息,是直接通过value属性嵌入到网页里的,就能被这种攻击手段获取。而登录页面的用户名和密码是要手动输入,就免疫这种攻击方式。
游客

返回顶部