# BrowExt - ClickJacking
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa nahtARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikionekana kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
## Taarifa Msingi
Ukurasa huu utatumia udhaifu wa ClickJacking katika kivinjari cha kivinjari.\
Ikiwa haujui ni nini ClickJacking angalia:
{% content-ref url="../clickjacking.md" %}
[clickjacking.md](../clickjacking.md)
{% endcontent-ref %}
Vifaa vinavyoendelea vina faili **`manifest.json`** na faili hiyo ya JSON ina uga `web_accessible_resources`. Hapa kuna [nyaraka za Chrome](https://developer.chrome.com/extensions/manifest/web\_accessible\_resources) zinasema kuhusu hilo:
> Vifaa hivi basi vitapatikana kwenye ukurasa wa wavuti kupitia URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, ambayo inaweza kuzalishwa na **`njia ya extension.getURL`**. Vifaa vilivyoorodheshwa vinahudumiwa na vichwa sahihi vya CORS, hivyo vinapatikana kupitia mbinu kama XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1)
**`web_accessible_resources`** katika kivinjari cha kivinjari sio tu inapatikana kupitia wavuti; pia inafanya kazi na mamlaka ya asili ya upanuzi. Hii inamaanisha kuwa ina uwezo wa:
* Kubadilisha hali ya upanuzi
* Kupakia vifaa vingine
* Kuingiliana na kivinjari kwa kiwango fulani
Hata hivyo, kipengele hiki kinaweka hatari ya usalama. Ikiwa rasilimali ndani ya **`web_accessible_resources`** ina utendaji wowote muhimu, mshambuliaji anaweza kuiweka rasilimali hii kwenye ukurasa wa wavuti wa nje. Watumiaji wasio na shaka wanaotembelea ukurasa huu wanaweza kwa bahati mbaya kuamsha rasilimali hii iliyoingizwa. Kuamsha hii kunaweza kusababisha matokeo yasiyotarajiwa, kulingana na ruhusa na uwezo wa rasilimali za upanuzi.
## Mfano wa PrivacyBadger
Katika upanuzi wa PrivacyBadger, udhaifu uligunduliwa kuhusiana na saraka ya `skin/` kutangazwa kama `web_accessible_resources` kwa njia ifuatayo (Angalia chapisho la asili [blog](https://blog.lizzie.io/clickjacking-privacy-badger.html)):
```json
"web_accessible_resources": [
"skin/*",
"icons/*"
]
```
Hii usanidi ilisababisha shida ya usalama inayowezekana. Kwa usahihi, faili ya `skin/popup.html`, ambayo inaonyeshwa baada ya kuingiliana na ikoni ya PrivacyBadger kwenye kivinjari, inaweza kuingizwa ndani ya `iframe`. Kuingiza hii inaweza kutumiwa kudanganya watumiaji ili kwa bahati mbaya bonyeza "Zima PrivacyBadger kwa Tovuti hii". Hatua kama hiyo ingeathiri faragha ya mtumiaji kwa kulemaza ulinzi wa PrivacyBadger na huenda ikaweka mtumiaji katika hatari ya kufuatiliwa zaidi. Onyesho la kivizuri la shambulio hili linaweza kuonekana katika mfano wa video ya ClickJacking iliyotolewa kwenye [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm).
Kushughulikia udhaifu huu, suluhisho rahisi lilitekelezwa: kuondoa `/skin/*` kutoka kwenye orodha ya `web_accessible_resources`. Mabadiliko haya yalipunguza hatari kwa kuhakikisha kwamba maudhui ya saraka ya `skin/` hayawezi kufikiwa au kubadilishwa kupitia rasilimali zinazopatikana kwenye wavuti.
Suluhisho lilikuwa rahisi: **ondoa `/skin/*` kutoka kwa `web_accessible_resources`**.
### PoC
```html
Click the button
```
## Mfano wa Metamask
[**Machapisho ya blogu kuhusu ClickJacking katika Metamask yanaweza kupatikana hapa**](https://slowmist.medium.com/metamask-clickjacking-vulnerability-analysis-f3e7c22ff4d9). Katika kesi hii, Metamask iliziba mwanya kwa kuhakikisha kwamba itifaki iliyotumika kufikia ilikuwa **`https:`** au **`http:`** (sio **`chrome:`** kwa mfano):
**Mwingine ClickJacking uliofanyiwa marekebisho** katika upanuzi wa Metamask ilikuwa watumiaji kuweza **Bofya kuweka kwenye orodha nyeupe** wakati ukurasa ulionekana kuwa shuki kwa sababu ya `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`. Kwa kuwa ukurasa huo ulikuwa na udhaifu wa Clickjacking, mshambuliaji angeweza kutumia hilo kuonyesha kitu cha kawaida ili kumfanya muathirika abonyeze kuweka kwenye orodha nyeupe bila kugundua, na kisha kurudi kwenye ukurasa wa kuwinda ambao utakuwa umewekwa kwenye orodha nyeupe.
## Mfano wa Steam Inventory Helper
Angalia ukurasa ufuatao kuona jinsi **XSS** katika upanuzi wa kivinjari ilivyofungamana na udhaifu wa **ClickJacking**:
{% content-ref url="browext-xss-example.md" %}
[browext-xss-example.md](browext-xss-example.md)
{% endcontent-ref %}
## Marejeo
* [https://blog.lizzie.io/clickjacking-privacy-badger.html](https://blog.lizzie.io/clickjacking-privacy-badger.html)
* [https://slowmist.medium.com/metamask-clickjacking-vulnerability-analysis-f3e7c22ff4d9](https://slowmist.medium.com/metamask-clickjacking-vulnerability-analysis-f3e7c22ff4d9)
.png)