作者展示了一种新颖的基于CSS的侧信道攻击技术,通过利用字母高度的差异和动画时间线来泄露文本节点内容。该技术研究源于Hack.lu CTF 2024的“Bench Press”挑战,旨在CSS注入场景下,当JavaScript执行受限时的数据窃取方法。
背景
CSS注入漏洞发生在用户可控输入被嵌入样式表时,攻击者可能借此操纵页面渲染。该技术利用现代浏览器中细微的渲染差异,在无法直接访问DOM的情况下提取数据。
- 来源
- Lobsters
- 发布时间
- 2026年7月6日 02:40
- 评分
- 7.0 / 10