7.5 KiB
BrowExt - ClickJacking
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Informazioni di base
Questa pagina sfrutterà una vulnerabilità di ClickJacking in un'estensione del Browser.
Se non sai cos'è il ClickJacking, controlla:
{% content-ref url="../clickjacking.md" %} clickjacking.md {% endcontent-ref %}
Le estensioni contengono il file manifest.json
e quel file JSON ha un campo web_accessible_resources
. Ecco cosa dicono le documentazioni di Chrome:
Queste risorse sarebbero quindi disponibili in una pagina web tramite l'URL
chrome-extension://[PACKAGE ID]/[PATH]
, che può essere generato con ilextension.getURL method
. Le risorse autorizzate sono servite con intestazioni CORS appropriate, quindi sono disponibili tramite meccanismi come XHR.1
Le web_accessible_resources
in un'estensione del browser non sono solo accessibili tramite il web; operano anche con i privilegi intrinseci dell'estensione. Questo significa che hanno la capacità di:
- Cambiare lo stato dell'estensione
- Caricare risorse aggiuntive
- Interagire con il browser in una certa misura
Tuttavia, questa funzionalità presenta un rischio per la sicurezza. Se una risorsa all'interno di web_accessible_resources
ha una funzionalità significativa, un attaccante potrebbe potenzialmente incorporare questa risorsa in una pagina web esterna. Gli utenti ignari che visitano questa pagina potrebbero attivare involontariamente questa risorsa incorporata. Tale attivazione potrebbe portare a conseguenze indesiderate, a seconda dei permessi e delle capacità delle risorse dell'estensione.
Esempio di PrivacyBadger
Nell'estensione PrivacyBadger, è stata identificata una vulnerabilità relativa alla directory skin/
dichiarata come web_accessible_resources
nel seguente modo (Controlla il post originale del blog):
"web_accessible_resources": [
"skin/*",
"icons/*"
]
Questa configurazione ha portato a un potenziale problema di sicurezza. In particolare, il file skin/popup.html
, che viene visualizzato al momento dell'interazione con l'icona di PrivacyBadger nel browser, potrebbe essere incorporato all'interno di un iframe
. Questo embedding potrebbe essere sfruttato per ingannare gli utenti a cliccare involontariamente su "Disabilita PrivacyBadger per questo sito web". Tale azione comprometterebbe la privacy dell'utente disabilitando la protezione di PrivacyBadger e potenzialmente esponendo l'utente a un tracciamento aumentato. Una dimostrazione visiva di questo exploit può essere vista in un esempio video di ClickJacking fornito su https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm.
Per affrontare questa vulnerabilità, è stata implementata una soluzione semplice: la rimozione di /skin/*
dall'elenco delle web_accessible_resources
. Questa modifica ha effettivamente mitigato il rischio assicurando che il contenuto della directory skin/
non potesse essere accessibile o manipolato tramite risorse web-accessibili.
La soluzione è stata semplice: rimuovere /skin/*
dalle web_accessible_resources
.
PoC
<!--https://blog.lizzie.io/clickjacking-privacy-badger.html-->
<style>
iframe {
width: 430px;
height: 300px;
opacity: 0.01;
float: top;
position: absolute;
}
#stuff {
float: top;
position: absolute;
}
button {
float: top;
position: absolute;
top: 168px;
left: 100px;
}
</style>
<div id="stuff">
<h1>
Click the button
</h1>
<button id="button">
click me
</button>
</div>
<iframe src="chrome-extension://ablpimhddhnaldgkfbpafchflffallca/skin/popup.html">
</iframe>
Esempio Metamask
Un post del blog su un ClickJacking in metamask può essere trovato qui. In questo caso, Metamask ha risolto la vulnerabilità controllando che il protocollo utilizzato per accedervi fosse https:
o http:
(non chrome:
per esempio):
Un altro ClickJacking risolto nell'estensione Metamask era che gli utenti potevano Cliccare per aggiungere alla whitelist quando una pagina era sospetta di phishing a causa di “web_accessible_resources”: [“inpage.js”, “phishing.html”]
. Poiché quella pagina era vulnerabile al Clickjacking, un attaccante poteva abusarne mostrando qualcosa di normale per far cliccare la vittima per aggiungerla alla whitelist senza accorgersene, e poi tornare alla pagina di phishing che sarà aggiunta alla whitelist.
Esempio Steam Inventory Helper
Controlla la seguente pagina per vedere come un XSS in un'estensione del browser è stato concatenato con una vulnerabilità di ClickJacking:
{% content-ref url="browext-xss-example.md" %} browext-xss-example.md {% endcontent-ref %}
Riferimenti
- https://blog.lizzie.io/clickjacking-privacy-badger.html
- https://slowmist.medium.com/metamask-clickjacking-vulnerability-analysis-f3e7c22ff4d9
{% hint style="success" %}
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository github.