為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

bg-inner
09 月 22 日 14:00 - 14:30 資安威脅研究室

不需要 JS 的前端攻擊手法 - CSS injection

談到網頁前端安全,第一個想到的幾乎都是 XSS,一種利用 JavaScript 的攻擊手法。有許多人都以為只要阻止 JavaScript 執行就足夠了,但事實上還可以透過其他方式攻擊,例如說 iframe 或甚至是拿來裝飾網頁的 CSS!

在本場講題中,我會介紹 CSS injection 這個較少人提及的攻擊手法,讓攻擊者藉由 CSS 來偷取網頁上的文字以及敏感資料,例如說可以偷取 CSRF token,再用這組 token 進行 CSRF 攻擊,來繞過原本 CSRF 的防範機制。

最後我會以知名開源協作筆記軟體作為實際案例,來探討 CSS injection 的攻擊與防禦。

LOCATION 臺北南港展覽二館 4F 展區會議室 4A LEVEL 中階等級 SESSION TYPE 現場演講 LANGUAGE 中文
SESSION TOPIC Web SecurityWeb Service SecuritySide-chanel Attack

SPEAKER

Huli
Cymetrics 資安研究員

原本是個前端工程師,一年前因興趣開始轉做資安相關研究,也因為這個背景,對於前端相關的資安議題(如 XSS、CORS 以及 XSLeaks)特別感興趣,目前在 Cymetrics 團隊進行資安相關研究及開發。