English version: http://mksben.l0.cm/2015/10/css-based-attack-abusing-unicode-range.html ---------------------------------- CSSの @font-faceのunicode-range を使った攻撃手法を思いついたので共有します。 この手法を使うと、攻撃者はCSSだけでページ内に書かれたテキストを推測することができます。 この手法は、次のような場面で利用できるかもしれません。 ・ ブラウザのXSS保護機能のバイパス(ChromeのXSS Auditorは<style>の注入をブロックしない) ・ ターゲットのページで、JavaScriptの実行はできないがスタイルが注入できた場合の攻撃への利用 自分が知る限りでは、CSSを利用した今でも使える既知の攻撃手法には、属性値を