hacktricks/pentesting-web/browser-extension-pentesting-methodology/README.md

38 KiB

Metodologija testiranja bezbednosti proširenja pregledača

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Osnovne informacije

Proširenja pregledača su napisana u JavaScript-u i učitavaju se od strane pregledača u pozadini. Imaju svoj DOM ali mogu da interaguju sa DOM-ovima drugih sajtova. To znači da mogu ugroziti poverljivost, integritet i dostupnost (CIA) drugih sajtova.

Glavne komponente

Dizajn proširenja izgleda najbolje kada je vizualizovan i sastoji se od tri komponente. Pogledajmo svaku komponentu detaljnije.

http://webblaze.cs.berkeley.edu/papers/Extensions.pdf

Skripte sadržaja

Svaka skripta sadržaja ima direktni pristup DOM-u jedne veb stranice i time je izložena potencijalno zlonamernom unosu. Međutim, skripta sadržaja ne sadrži dozvole osim mogućnosti slanja poruka jezgri proširenja.

Jezgro proširenja

Jezgro proširenja sadrži većinu privilegija/pristupa proširenja, ali jezgro proširenja može interagovati sa veb sadržajem samo putem XMLHttpRequest i skripti sadržaja. Takođe, jezgro proširenja nema direktni pristup host mašini.

Nativni binarni fajl

Proširenje omogućava nativni binarni fajl koji može pristupiti host mašini sa punim privilegijama korisnika. Nativni binarni fajl interaguje sa jezgrom proširenja putem standardnog Netscape Plugin Application Programming Interface (NPAPI) koji koristi Flash i druge dodatke pregledača.

Granice

{% hint style="danger" %} Da bi dobio puna korisnička prava, napadač mora ubediti proširenje da prosledi zlonameran unos iz skripte sadržaja jezgru proširenja i iz jezgra proširenja nativnom binarnom fajlu. {% endhint %}

Svaka komponenta proširenja je odvojena jedna od druge jakim zaštitnim granicama. Svaka komponenta se izvršava u zasebnom operativnom sistemu. Skripte sadržaja i jezgra proširenja se izvršavaju u peskovitim procesima nedostupnim većini usluga operativnog sistema.

Pored toga, skripte sadržaja su odvojene od svojih povezanih veb stranica izvršavanjem u zasebnom JavaScript hipu. Skripta sadržaja i veb stranica imaju pristup istom osnovnom DOM-u, ali se nikada ne razmenjuju JavaScript pokazivači, čime se sprečava curenje JavaScript funkcionalnosti.

manifest.json

Chrome proširenje je samo ZIP folder sa .crx ekstenzijom fajla. Jezgro proširenja je manifest.json fajl na korenu foldera, koji specificira dizajn, dozvole i druge konfiguracione opcije.

Primer:

{
"manifest_version": 2,
"name": "My extension",
"version": "1.0",
"permissions": [
"storage"
],
"content_scripts": [
{
"js": [
"script.js"
],
"matches": [
"https://example.com/*",
"https://www.example.com/*"
],
"exclude_matches": ["*://*/*business*"],
}
],
"background": {
"scripts": [
"background.js"
]
},
"options_ui": {
"page": "options.html"
}
}

content_scripts

Sadržajni skriptovi se učitavaju svaki put kada korisnik navigira na odgovarajuću stranicu, u našem slučaju bilo koju stranicu koja odgovara izrazu https://example.com/* i ne odgovara regexu *://*/*/business*. Oni se izvršavaju kao skriptovi same stranice i imaju proizvoljan pristup Document Object Model (DOM) stranice.

"content_scripts": [
{
"js": [
"script.js"
],
"matches": [
"https://example.com/*",
"https://www.example.com/*"
],
"exclude_matches": ["*://*/*business*"],
}
],

Da biste uključili ili isključili više URL-ova, takođe je moguće koristiti include_globs i exclude_globs.

Ovo je primer skripte sadržaja koja će dodati dugme za objašnjenje na stranici kada API za skladištenje koristi se za dobijanje vrednosti message iz skladišta proširenja.

chrome.storage.local.get("message", result =>
{
let div = document.createElement("div");
div.innerHTML = result.message + " <button>Explain</button>";
div.querySelector("button").addEventListener("click", () =>
{
chrome.runtime.sendMessage("explain");
});
document.body.appendChild(div);
});

Kada se klikne na ovaj dugme, poruka se šalje stranicama proširenja putem koda skripta sadržaja, korišćenjem API-ja runtime.sendMessage(). Ovo je zbog ograničenja koda skripta sadržaja u direktnom pristupu API-ima, pri čemu je storage među retkim izuzecima. Za funkcionalnosti van ovih izuzetaka, poruke se šalju stranicama proširenja sa kojima skriptovi sadržaja mogu komunicirati.

{% hint style="warning" %} Zavisno od pretraživača, mogućnosti koda skripta sadržaja mogu se blago razlikovati. Za pretraživače zasnovane na Chromium-u, lista mogućnosti dostupna je u Chrome Developers dokumentaciji, a za Firefox, MDN služi kao primarni izvor.
Takođe je važno napomenuti da skriptovi sadržaja imaju mogućnost komunikacije sa pozadinskim skriptovima, omogućavajući im da izvrše radnje i prenesu odgovore nazad. {% endhint %}

Za pregledanje i debagovanje skriptova sadržaja u Chrome-u, meni Chrome developer alatki može se pristupiti putem Opcije > Više alatki > Alatke za razvoj OR pritiskom na Ctrl + Shift + I.

Kada se prikažu alatke za razvoj, treba kliknuti na Tab izvora, a zatim na Tab skriptova sadržaja. Ovo omogućava posmatranje pokrenutih skriptova sadržaja iz različitih proširenja i postavljanje tačaka prekida kako bi se pratilo izvršavanje toka.

Ubaceni skriptovi sadržaja

{% hint style="success" %} Imajte na umu da Skriptovi sadržaja nisu obavezni jer je takođe moguće dinamički ubaciti skriptove i programatski ih ubaciti na veb stranice putem tabs.executeScript. Ovo zapravo pruža više granularnih kontrola. {% endhint %}

Za programatsko ubacivanje skripta sadržaja, proširenju je potrebno imati dozvole domaćina za stranicu u koju se skriptovi ubacuju. Ove dozvole mogu se obezbediti ili zahtevanjem u manifestu proširenja ili privremeno putem activeTab.

Primer proširenja zasnovanog na activeTab-u

{% code title="manifest.json" %}

{
"name": "My extension",
...
"permissions": [
"activeTab",
"scripting"
],
"background": {
"service_worker": "background.js"
},
"action": {
"default_title": "Action Button"
}
}

{% endcode %}

  • Umetnite JS fajl pritiskom na dugme:
// content-script.js
document.body.style.backgroundColor = "orange";

//service-worker.js - Inject the JS file
chrome.action.onClicked.addListener((tab) => {
chrome.scripting.executeScript({
target: { tabId: tab.id },
files: ["content-script.js"]
});
});
  • Ubacivanje funkcije na klik:
//service-worker.js - Inject a function
function injectedFunction() {
document.body.style.backgroundColor = "orange";
}

chrome.action.onClicked.addListener((tab) => {
chrome.scripting.executeScript({
target : {tabId : tab.id},
func : injectedFunction,
});
});

Primer sa dozvolama skriptovanja

// service-workser.js
chrome.scripting.registerContentScripts([{
id : "test",
matches : [ "https://*.example.com/*" ],
excludeMatches : [ "*://*/*business*" ],
js : [ "contentScript.js" ],
}]);

// Another example
chrome.tabs.executeScript(tabId, { file: "content_script.js" });

Da biste uključili ili isključili više URL-ova, takođe je moguće koristiti include_globs i exclude_globs.

Skripte sadržaja run_at

Polje run_at kontroliše kada se JavaScript fajlovi ubacuju u web stranicu. Preferirana i podrazumevana vrednost je "document_idle".

Moguće vrednosti su:

  • document_idle: Kada god je moguće
  • document_start: Nakon bilo kojih fajlova iz css, ali pre nego što je konstruisan bilo koji drugi DOM ili pokrenut bilo koji drugi skript.
  • document_end: Neposredno nakon što je DOM kompletan, ali pre nego što su se učitale podređene resurse poput slika i frejmova.

Putem manifest.json

{
"name": "My extension",
...
"content_scripts": [
{
"matches": ["https://*.example.com/*"],
"run_at": "document_idle",
"js": ["contentScript.js"]
}
],
...
}

Preko service-worker.js

chrome.scripting.registerContentScripts([{
id : "test",
matches : [ "https://*.example.com/*" ],
runAt : "document_idle",
js : [ "contentScript.js" ],
}]);

pozadina

Poruke poslate od strane skriptova sadržaja primaju se od strane pozadinske stranice, koja ima centralnu ulogu u koordinaciji komponenti proširenja. Posebno, pozadinska stranica perzistira tokom trajanja proširenja, diskretno funkcionišući bez direktnog korisničkog interakcije. Poseduje svoj Document Object Model (DOM), omogućavajući kompleksne interakcije i upravljanje stanjem.

Ključne tačke:

  • Uloga pozadinske stranice: Deluje kao nervni centar proširenja, osiguravajući komunikaciju i koordinaciju među različitim delovima proširenja.
  • Perzistencija: To je stalno prisutno entitet, nevidljivo korisniku ali integralno za funkcionalnost proširenja.
  • Automatsko generisanje: Ako nije eksplicitno definisana, pretraživač će automatski kreirati pozadinsku stranicu. Ova automatski generisana stranica će uključiti sve pozadinske skripte navedene u manifestu proširenja, osiguravajući besprekorno funkcionisanje pozadinskih zadataka proširenja.

{% hint style="success" %} Praktičnost koju pruža pretraživač automatskim generisanjem pozadinske stranice (kada nije eksplicitno navedeno) osigurava da su sve neophodne pozadinske skripte integrisane i operativne, olakšavajući proces postavljanja proširenja. {% endhint %}

Primer pozadinske skripte:

chrome.runtime.onMessage.addListener((request, sender, sendResponse) =>
{
if (request == "explain")
{
chrome.tabs.create({ url: "https://example.net/explanation" });
}
})

Koristi runtime.onMessage API da bi osluškivao poruke. Kada primi poruku "explain", koristi tabs API da otvori stranicu u novom tabu.

Za debagovanje pozadinskog skripta možete otići na detalje proširenja i pregledati servisni radnik, što će otvoriti alatke za razvoj sa pozadinskim skriptom:

Stranice opcija i ostalo

Browser ekstenzije mogu sadržati različite vrste stranica:

  • Stranice akcija se prikazuju u padajućem meniju kada se klikne ikona ekstenzije.
  • Stranice koje će se učitati u novom tabu.
  • Stranice opcija: Ova stranica se prikazuje iznad ekstenzije kada se klikne. U prethodnom manifestu u mom slučaju mogao sam pristupiti ovoj stranici na chrome://extensions/?options=fadlhnelkbeojnebcbkacjilhnbjfjca ili klikom na:

Imajte na umu da ove stranice nisu trajne poput pozadinskih stranica jer dinamički učitavaju sadržaj po potrebi. Ipak, dele određene mogućnosti sa pozadinskom stranicom:

  • Komunikacija sa skriptovima sadržaja: Slično kao pozadinska stranica, ove stranice mogu primati poruke od skriptova sadržaja, olakšavajući interakciju unutar ekstenzije.
  • Pristup API-jima specifičnim za ekstenziju: Ove stranice imaju sveobuhvatan pristup API-jima specifičnim za ekstenziju, podložan dozvolama definisanim za ekstenziju.

permissions & host_permissions

permissions i host_permissions su unosi iz manifest.json koji će ukazati na koje dozvole browser ekstenzija ima (skladište, lokacija...) i na kojim veb stranicama.

Kako browser ekstenzije mogu biti tako privilegovane, zlonamerna ili kompromitovana ekstenzija može omogućiti napadaču različite načine za krađu osetljivih informacija i špijuniranje korisnika.

Proverite kako ove postavke funkcionišu i kako mogu biti zloupotrebljene u:

{% content-ref url="browext-permissions-and-host_permissions.md" %} browext-permissions-and-host_permissions.md {% endcontent-ref %}

content_security_policy

Politika bezbednosti sadržaja takođe može biti deklarisana unutar manifest.json. Ako je definisana, može biti ranjiva.

Podrazumevana postavka za stranice browser ekstenzija je prilično restriktivna:

script-src 'self'; object-src 'self';

Za više informacija o CSP i potencijalnim prevarama proverite:

{% content-ref url="../content-security-policy-csp-bypass/" %} content-security-policy-csp-bypass {% endcontent-ref %}

web_accessible_resources

da bi veb stranica mogla da pristupi stranici Browser proširenja, na primer .html stranici, ova stranica mora biti navedena u polju web_accessible_resources u manifest.json fajlu.
Na primer:

{
...
"web_accessible_resources": [
{
"resources": [ "images/*.png" ],
"matches": [ "https://example.com/*" ]
},
{
"resources": [ "fonts/*.woff" ],
"matches": [ "https://example.com/*" ]
}
],
...
}

Ove stranice su dostupne na URL adresi poput:

chrome-extension://<extension-id>/message.html

U javnim ekstenzijama ID ekstenzije je dostupan:

Međutim, ako se koristi parametar manifest.json use_dynamic_url, ovaj ID može biti dinamičan.

{% hint style="success" %} Imajte na umu da čak i ako je stranica navedena ovde, može biti zaštićena od ClickJacking-a zahvaljujući Politici bezbednosti sadržaja. Stoga je potrebno proveriti (odeljak frame-ancestors) pre potvrđivanja da je ClickJacking napad moguć. {% endhint %}

Dozvola pristupa ovim stranicama čini ih potencijalno ranjivim na ClickJacking:

{% content-ref url="browext-clickjacking.md" %} browext-clickjacking.md {% endcontent-ref %}

{% hint style="success" %} Dozvoljavanje učitavanja ovih stranica samo od strane ekstenzije, a ne od nasumičnih URL-ova, može sprečiti napade ClickJacking. {% endhint %}

{% hint style="danger" %} Imajte na umu da stranice iz web_accessible_resources i druge stranice ekstenzije takođe mogu kontaktirati pozadinske skripte. Dakle, ako je jedna od ovih stranica ranjiva na XSS, to bi moglo otvoriti veću ranjivost.

Osim toga, imajte na umu da se stranice navedene u web_accessible_resources mogu otvoriti samo unutar iframes-a, ali iz novog taba je moguće pristupiti bilo kojoj stranici u ekstenziji znajući ID ekstenzije. Stoga, ako se pronađe XSS zloupotrebom istih parametara, to bi se moglo zloupotrebiti čak i ako stranica nije konfigurisana u web_accessible_resources. {% endhint %}

externally_connectable

Prema dokumentaciji, svojstvo manifesta "externally_connectable" deklariše koje ekstenzije i web stranice mogu da se povežu sa vašom ekstenzijom putem runtime.connect i runtime.sendMessage.

  • Ako ključ externally_connectable nije deklarisan u manifestu vaše ekstenzije ili je deklarisan kao "ids": ["*"], sve ekstenzije mogu da se povežu, ali nijedna web stranica ne može.
  • Ako su specifični ID-ovi navedeni, kao u "ids": ["aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"], samo te aplikacije mogu da se povežu.
  • Ako su navedeni odgovarajući podudarnosti, te veb aplikacije će moći da se povežu:
"matches": [
"https://*.google.com/*",
"*://*.chromium.org/*",
  • Ako je navedeno kao prazno: "externally_connectable": {}, nijedna aplikacija ili veb stranica neće moći da se poveže.

Što je manje proširenja i URL-ova navedeno ovde, to će površina napada biti manja.

{% hint style="danger" %} Ako je veb stranica ranjiva na XSS ili preuzimanje kontrole navedena u externally_connectable, napadač će moći da šalje poruke direktno skriptu pozadine, potpuno zaobilazeći Skript sadržaja i njegov CSP.

Stoga, ovo je veoma moćna zaobilaznica.

Štaviše, ako klijent instalira zlonamerno proširenje, čak i ako mu nije dozvoljeno da komunicira sa ranjivim proširenjem, moglo bi da ubaci XSS podatke na dozvoljenu veb stranicu ili zloupotrebi WebRequest ili DeclarativeNetRequest API-jeve da manipuliše zahtevima na ciljanoj domeni menjajući zahtev za stranicu za JavaScript fajl. (Imajte na umu da CSP na ciljanoj stranici može da spreči ove napade). Ova ideja potiče iz ovog teksta. {% endhint %}

Sažetak komunikacije

Proširenje <--> Veb aplikacija

Za komunikaciju između skripta sadržaja i veb stranice obično se koriste poruke. Stoga, u veb aplikaciji obično ćete pronaći pozive funkcije window.postMessage, a u skriptu sadržaja slušače poput window.addEventListener. Međutim, proširenje takođe može komunicirati sa veb aplikacijom slanjem Post Message-a (i stoga veb treba da očekuje to) ili jednostavno učiniti da veb učita novi skript.

Unutar proširenja

Obično se funkcija chrome.runtime.sendMessage koristi za slanje poruke unutar proširenja (obično obrađeno od strane skripta background) i kako bi je primilo i obradilo, deklariše se slušalac pozivajući chrome.runtime.onMessage.addListener.

Takođe je moguće koristiti chrome.runtime.connect() da bi se imala trajna veza umesto slanja pojedinačnih poruka, moguće je koristiti je za slanje i primanje poruka kao u sledećem primeru:

chrome.runtime.connect() primer ```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

Takođe je moguće slati poruke iz pozadinskog skripta ka sadržajnom skriptu koji se nalazi u određenom tabu pozivajući **`chrome.tabs.sendMessage`** gde ćete morati navesti **ID taba** kojem šaljete poruku.

### Od dozvoljenih `externally_connectable` ka ekstenziji

**Veb aplikacije i eksterni browser ekstenzije koje su dozvoljene** u konfiguraciji `externally_connectable` mogu slati zahteve koristeći:
```javascript
chrome.runtime.sendMessage(extensionId, ...

Gde je potrebno pomenuti ID proširenja.

Komunikacija između veb ↔︎ skripte sadržaja

Okruženja u kojima skripte sadržaja funkcionišu i gde postoje stranice domaćini su odvojena jedno od drugog, obezbeđujući izolaciju. Uprkos ovoj izolaciji, oba imaju mogućnost da interaguju sa Document Object Model (DOM) stranice, deljenim resursom. Da bi domaća stranica stupila u komunikaciju sa skriptom sadržaja, ili neizravno sa proširenjem preko skripte sadržaja, potrebno je koristiti DOM koji je dostupan obema stranama kao kanal komunikacije.

Slanje poruka

{% code title="skripta-sadrzaja.js" %}

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

{% endcode %}

{% code title="primer.js" %}

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

{% endcode %}

Bezbedna komunikacija putem Post Message-a treba da proveri autentičnost primljene poruke, ovo se može uraditi proverom:

  • event.isTrusted: Ovo je tačno samo ako je događaj pokrenut akcijom korisnika
  • Skript za sadržaj može očekivati poruku samo ako korisnik izvrši neku akciju
  • Poreklo domena: može očekivati poruku samo od liste odobrenih domena.
  • Ako se koristi regex, budite veoma oprezni
  • Izvor: received_message.source !== window može se koristiti da se proveri da li je poruka sa istog prozora gde Skript za Sadržaj sluša.

Prethodne provere, čak i ako su izvršene, mogu biti ranjive, pa proverite na sledećoj stranici potencijalne Post Message zaobilaze:

{% content-ref url="../postmessage-vulnerabilities/" %} postmessage-vulnerabilities {% endcontent-ref %}

Iframe

Još jedan mogući način komunikacije može biti putem Iframe URL-ova, možete pronaći primer u:

{% content-ref url="browext-xss-example.md" %} browext-xss-example.md {% endcontent-ref %}

DOM

Ovo nije "tačno" način komunikacije, ali web i skript za sadržaj će imati pristup web DOM-u. Dakle, ako skript za sadržaj čita neke informacije iz njega, verujući web DOM-u, web bi mogao modifikovati te podatke (jer web ne bi trebalo da se veruje, ili jer je web ranjiv na XSS) i ugroziti Skript za Sadržaj.

Takođe možete pronaći primer DOM baziranog XSS za ugrožavanje proširenja pregledača u:

{% content-ref url="browext-xss-example.md" %} browext-xss-example.md {% endcontent-ref %}

Komunikacija Skripta za Sadržaj ↔︎ Skripta Pozadine

Skript za Sadržaj može koristiti funkcije runtime.sendMessage() ili tabs.sendMessage() da pošalje jednokratnu JSON-serializabilnu poruku.

Za rukovanje odgovorom, koristite vraćeni Promise. Iako, radi kompatibilnosti unazad, i dalje možete proslediti callback kao poslednji argument.

Slanje zahteva iz skripta za sadržaj izgleda ovako:

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Slanje zahteva iz ekstenzije (obično iz pozadinskog skripta). Primer kako poslati poruku skriptu sadržaja na izabranoj kartici:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Na primalacu, treba da postavite runtime.onMessage slušaoca događaja da biste obradili poruku. Ovo izgleda isto iz sadržajnog skripta ili stranice proširenja.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

U prikazanom primeru, sendResponse() je izvršen sinhrono. Da biste izmenili onMessage rukovaoca događajima za asinhrono izvršavanje sendResponse(), imperativno je uključiti return true;.

Važno je imati na umu da u scenarijima gde je više stranica postavljeno da primaju onMessage događaje, prva stranica koja izvrši sendResponse() za određeni događaj će biti jedina sposobna da efikasno dostavi odgovor. Svi naknadni odgovori na isti događaj neće biti uzeti u obzir.

Prilikom kreiranja novih proširenja, prednost treba dati promisima umesto povratnim pozivima. Što se tiče korišćenja povratnih poziva, funkcija sendResponse() se smatra validnom samo ako se izvršava direktno unutar sinhronog konteksta, ili ako rukovalac događajem ukazuje na asinhronu operaciju vraćanjem true. Ukoliko nijedan od rukovalaca ne vrati true ili ako se funkcija sendResponse() ukloni iz memorije (sakupljena smećem), podrazumevano će biti pokrenut povratni poziv povezan sa funkcijom sendMessage().

Osetljive informacije u memoriji/kodu/klipbordu

Ako Browser proširenje čuva osetljive informacije unutar svoje memorije, ove informacije mogu biti izvučene (posebno na Windows mašinama) i pretražene za te informacije.

Stoga, memorija Browser proširenja ne bi trebalo da se smatra bezbednom i osetljive informacije poput akreditacija ili mnemoničkih fraza ne bi trebalo da se čuvaju.

Naravno, ne stavljajte osetljive informacije u kod, jer će biti javne.

Da biste izvukli memoriju iz browsera, možete izvući memoriju procesa ili otići na postavke browser proširenja i kliknuti na Inspect pop-up -> U odeljku Memory -> Napravite snimak i CTRL+F za pretragu unutar snimka za osetljive informacije.

Osim toga, visoko osetljive informacije poput mnemoničkih ključeva ili lozinki ne bi trebalo da bude dozvoljeno kopiranje u klipbord (ili bar uklonite ih iz klipborda za nekoliko sekundi) jer će procesi koji prate klipbord biti u mogućnosti da ih dobiju.

Učitavanje proširenja u browseru

  1. Preuzmite Browser proširenje i raspakujte ga
  2. Idite na chrome://extensions/ i omogućite Developer Mode
  3. Kliknite na dugme Load unpacked

U Firefox-u idite na about:debugging#/runtime/this-firefox i kliknite na dugme Load Temporary Add-on.

Dobijanje izvornog koda iz prodavnice

Izvorni kod Chrome proširenja može se dobiti putem različitih metoda. U nastavku su detaljna objašnjenja i uputstva za svaku opciju.

Preuzimanje proširenja kao ZIP putem komandne linije

Izvorni kod Chrome proširenja može se preuzeti kao ZIP datoteka korišćenjem komandne linije. To uključuje korišćenje curl-a za preuzimanje ZIP datoteke sa određenog URL-a, a zatim izvlačenje sadržaja ZIP datoteke u direktorijum. Evo koraka:

  1. Zamenite "extension_id" sa stvarnim ID-om proširenja.
  2. Izvršite sledeće komande:
extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Koristite veb sajt CRX Viewer

https://robwu.nl/crxviewer/

Koristite CRX Viewer ekstenziju

Još jedan praktičan metod je korišćenje Chrome Extension Source Viewer, koji je projekat otvorenog koda. Može se instalirati sa Chrome Web prodavnice. Izvorni kod pregledača je dostupan u njegovom GitHub repozitorijumu.

Pregled izvora lokalno instalirane ekstenzije

Lokalno instalirane Chrome ekstenzije takođe mogu biti pregledane. Evo kako:

  1. Pristupite svom Chrome lokalnom profil direktorijumu posetom chrome://version/ i pronalaženjem polja "Profile Path".
  2. Navigirajte do poddirektorijuma Extensions/ unutar profil direktorijuma.
  3. Ovaj folder sadrži sve instalirane ekstenzije, obično sa njihovim izvornim kodom u čitljivom formatu.

Da biste identifikovali ekstenzije, možete mapirati njihove ID-jeve sa imenima:

  • Omogućite Developer Mode na stranici about:extensions da biste videli ID-jeve svake ekstenzije.
  • Unutar foldera svake ekstenzije, fajl manifest.json sadrži čitljivo polje name, pomažući vam da identifikujete ekstenziju.

Koristite Arhiver ili Dekompresor fajlova

Idite na Chrome Web prodavnicu i preuzmite ekstenziju. Fajl će imati ekstenziju .crx. Promenite ekstenziju fajla sa .crx na .zip. Koristite bilo koji arhiver fajlova (kao što su WinRAR, 7-Zip, itd.) da biste izvukli sadržaj ZIP fajla.

Koristite Developer Mode u Chrome-u

Otvorite Chrome i idite na chrome://extensions/. Omogućite "Developer mode" u gornjem desnom uglu. Kliknite na "Load unpacked extension...". Navigirajte do direktorijuma vaše ekstenzije. Ovo ne preuzima izvorni kod, ali je korisno za pregledanje i modifikaciju koda već preuzete ili razvijene ekstenzije.

Lista za proveru bezbednosti

Iako Browser ekstenzije imaju ograničenu površinu napada, neke od njih mogu sadržati ranjivosti ili potencijalna poboljšanja učvršćivanja. Sledeće su najčešće:

  • Ograničite što je više moguće tražene dozvole
  • Ograničite što je više moguće host_permissions
  • Koristite jaku content_security_policy
  • Ograničite što je više moguće externally_connectable, ako nije potrebno i moguće, ne ostavljajte ga podrazumevano, specificirajte {}
  • Ako je ovde naveden URL ranjiv na XSS ili preuzimanje kontrole, napadač će moći slati poruke direktno skriptovima pozadine. Veoma moćan zaobilazak.
  • Ograničite što je više moguće web_accessible_resources, čak i prazno ako je moguće.
  • Ako web_accessible_resources nije ništa, proverite ClickJacking
  • Ako se vrši bilo kakva komunikacija između ekstenzije i veb stranice, proverite XSS ranjivosti izazvane u komunikaciji.
  • Ako se koriste Post poruke, proverite Post Message ranjivosti.
  • Ako Content Script pristupa detaljima DOM-a, proverite da li oni ne uvode XSS ako ih veb modifikuje
  • Posebno obratite pažnju ako je ova komunikacija takođe uključena u komunikaciju između Content Script-a i skripte pozadine
  • Osetljive informacije ne bi trebalo da se čuvaju unutar koda Browser ekstenzije
  • Osetljive informacije ne bi trebalo da se čuvaju unutar memorije Browser ekstenzije

Alati

Tarnish

  • Preuzima bilo koju Chrome ekstenziju sa datog Chrome web prodavnice linka.
  • manifest.json pregledač: jednostavno prikazuje JSON-oblikovanu verziju manifesta ekstenzije.
  • Analiza otiska prsta: Detekcija web_accessible_resources i automatska generacija JavaScript otiska prsta Chrome ekstenzije.
  • Analiza potencijalnog Clickjacking-a: Detekcija HTML stranica ekstenzije sa direktivom web_accessible_resources. Ove stranice su potencijalno ranjive na clickjacking u zavisnosti od svrhe stranica.
  • Pregled upozorenja o dozvolama: koji prikazuje listu svih upozorenja o dozvolama Chrome-a koja će biti prikazana prilikom pokušaja korisnika da instalira ekstenziju.
  • Opasne funkcije: prikazuje lokaciju opasnih funkcija koje bi mogle biti iskorišćene od strane napadača (npr. funkcije poput innerHTML, chrome.tabs.executeScript).
  • Ulazne tačke: prikazuje gde ekstenzija prima korisnički/spoljni unos. Ovo je korisno za razumevanje površine ekstenzije i traženje potencijalnih tačaka za slanje zlonamerno oblikovanih podataka ekstenziji.
  • I skeneri opasnih funkcija i ulaznih tačaka imaju sledeće za njihove generisane upozorenja:
  • Relevantan odlomak koda i linija koja je izazvala upozorenje.
  • Opis problema.
  • Dugme "Prikaži fajl" za pregled celog izvornog fajla koji sadrži kod.
  • Putanja upozorenog fajla.
  • Potpuna URI Chrome ekstenzije upozorenog fajla.
  • Vrsta fajla, kao što je skripta pozadine, Content Script, Browser Action, itd.
  • Ako je ranjiva linija u JavaScript fajlu, putanje svih stranica gde je uključena kao i status ovih stranica, i web_accessible_resource.
  • Analizator i provera zaobilaženja Politike bezbednosti sadržaja (CSP): Ovo će ukazati na slabosti u CSP vaše ekstenzije i takođe osvetliti bilo koje potencijalne načine zaobilaženja vaše CSP zbog belih CDN-ova, itd.
  • Poznate ranjive biblioteke: Koristi Retire.js da proveri da li se koristi poznate ranjive JavaScript biblioteke.
  • Preuzmite ekstenziju i formatirane verzije.
  • Preuzmite originalnu ekstenziju.
  • Preuzmite prelepo formatiranu verziju ekstenzije (automatski oblikovan HTML i JavaScript).
  • Automatsko keširanje rezultata skeniranja, pokretanje skeniranja ekstenzije će trajati prilično dugo prvi put kada ga pokrenete. Međutim, drugi put, pod uslovom da ekstenzija nije ažurirana, biće gotovo trenutno zbog keširanja rezultata.
  • Linkabilni URL-ovi izveštaja, lako povežite nekoga sa izveštajem o ekstenziji generisanim od strane tarnish-a.

Neto

Projekat Neto je Python 3 paket osmišljen za analizu i otkrivanje skrivenih funkcija browser dodataka i ekstenzija za poznate pretraživače poput Firefox-a i Chrome-a. Automatizuje proces raspakivanja zapakovanih fajlova radi izdvajanja ovih funkcija iz relevantnih resursa u ekstenziji poput manifest.json, lokalizacionih foldera ili JavaScript i HTML izvornih fajlova.

Reference

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Druge načine podrške HackTricks-u: