安全研究人员发现，滚动到文本片段(STTF)是一种可用于直接浏览网页上特定文本片段的功能，可被利用来泄露敏感的用户信息。该漏洞由SecForce的Maciej Piechota发现，它使用CSS选择器从网页中提取信息并将其发送到攻击者控制的服务器。用户可以通过使用“ #:~:text ”标识符并将文本字符串附加到网页的URL来使用STTF功能。如果页面上存在该字符串，浏览器将直接滚动到它并突出显示相关部分。

“我收到了一个朋友的链接，其中包括滚动到文本片段，我开始想知道如何在成功的滚动上完成突出显示，以及是否可以以某种方式对其进行自定义，”Piechota说。

STTF使用特殊的CSS指令来突出显示目标文本。Piechota发现，如果页面存在CSS注入漏洞，攻击者可以操纵样式规范，使浏览器通过支持“url”功能的属性将数据发送到攻击者控制的服务器。

“这个问题是恶意滥用功能的一个例子，而不是漏洞，”Piechota说。

在他的在编写漏洞利用程序时，Piechota详细介绍了使用STTF功能的三种不同类型的攻击。在一个概念验证中，攻击者发送一个特制的URL，该URL向攻击者的服务器显示目标是否是管理员。

“所有攻击都针对并且可以泄露受害者当前浏览的网站上可见的数据，”Piechota说。

STTF的设计具有安全功能，可防止秘密/随机数据泄露。它还需要用户交互以避免自动攻击。

攻击者可以通过社会工程利用受害者缺乏安全意识来规避其中的一些保护措施。Piechota还发现攻击者可以利用浏览器扩展程序（例如广告拦截器）来模仿用户点击，这是STTF功能正常工作所必需的。

其中一个PoC使用STTF方案来揭示受害者加密货币钱包的恢复种子短语。

“我想说这种技术在两种情况下都很方便，”Piechota说。“第一：当攻击者在网站上发现漏洞并希望从他们不知道的所有用户组中定位管理员时。

“第二：当攻击者认识受害者并需要回答特定问题时，例如‘受害者是否启用了2FA？’，或者‘他们是否收到了A公司的报价？’”

根据Piechota的说法，与许多跨站点泄漏(XS-Leak)攻击一样，STTF漏洞利用需要一定程度的社会工程来引诱受害者访问攻击者的页面。“在这种情况下更是如此，因为我们需要引诱受害者执行某些行动，”他说。

Piechota警告说，开发人员应该意识到，即使是看似无辜的浏览器功能也可能被老练的攻击者利用。STTF泄漏表明CSS 注入漏洞可以导致强大的攻击。

“对于用户来说，这是老生常谈——在打开链接之前要三思而后行，并使用最新的软件，”Piechota说。