CSS Exfil Protection 是一款用于 Chrome/Firefox 浏览器预防 CSS Exfil 攻击的扩展,安装之后,就不用再担忧可能的密码泄漏问题。@Appinn
![防密码泄漏,这款 Chrome/Firefox 扩展能防止 CSS Exfil 攻击[附测试] 1](https://static1.appinn.com/images/201904/css-exfil-vulnerability-tester.jpg!o "防密码泄漏,这款 Chrome/Firefox 扩展能防止 CSS Exfil 攻击[附测试] 1")
神马?CSS 也会泄漏密码?青小蛙也是第一次碰到这个问题 🙈原理就是恶意网址会通过 CSS 的一些特性,在输入框做手脚,来侦测用户输入的身份证号、密码、信用卡号等敏感信息,于是一不小心就中招了。
这里有一个测试网页(需要代理访问),打开后看到如上图一样的四个红色 👎,就意味着会中招。
解决方案也简单,安装 CSS Exfil Protection 扩展就行了,支持 Chrome 与 Firefox。安装后再次打开那个测试网页,这样就对了:
![防密码泄漏,这款 Chrome/Firefox 扩展能防止 CSS Exfil 攻击[附测试] 2](https://static1.appinn.com/images/201904/2019-04-0311-58-18.jpg!o "防密码泄漏,这款 Chrome/Firefox 扩展能防止 CSS Exfil 攻击[附测试] 2")
但注意目前扩展仅能防范已知的漏洞,这有一篇冗长的文章,如果有其他未知的方法,依旧可能泄漏。
沉长 ————-> 冗(rong)长
感谢提醒
这测试网页看起来就是个假东西
CSS Exfil 攻击主要是在输入密码时通过 CSS 的属性选择器来穷举输入框中的每一次输入的字符,遇到匹配的字符就请求服务器相应的图片链接,服务器就根据请求的链接得知相应的字符。
这是浏览的网站的锅,如果网站本身或者网站使用的库出了问题,就可能被挂马。
另:这个测试页面严重缺乏说服力。
感觉装了才不安全哈哈哈
扩展权限:读取和修改你所访问的所有网页
你说我咋就觉得这个扩展本身才有问题
不读网页怎么识别 CSS 攻击?杀毒软件同理啊,不给读写权限怎么杀毒?这类工具只能风险自负了
我只介意自己输入银行类密码的时候页面环境安不安全
而我只在IE登录银行类帐号
基本和这扩展无缘了
Fake news
有来源么?