Asayomu Tech
注目★★★★Lobsters

CSS インジェクションで HTML テキスト内容を抽出、認証トークン漏洩の可能性

30秒で把握

  • 1CSS インジェクション単独で HTML テキスト全量抽出・リモート送信が可能に
  • 2フォント高さ差異・アニメーション・style query で従来の文字重複問題を解決
  • 3style-src 'unsafe-inline' + img-src 許可の CSP 環境では入力値の CSS インジェクション対策が必須

要約

セキュリティ研究者は CSS のみを用いて HTML テキストノードの内容を全量抽出する技術を開発した。フォント高さの差異測定・アニメーションタイムライン・一時変数キャッシングを組み合わせ、リモート画像をビーコンとして利用することで、JavaScript なしに任意のテキスト (認証トークンなど) を攻撃者サーバへ送信できる。この手法は Hack.lu CTF 2024 の「Bench Press」チャレンジとして実装され、CSP で style-src 'unsafe-inline' と img-src を許可する環境で機能する。従来の文字集合リーク手法の重複文字問題を、高さ測定と反復的な文字削除により克服した。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。