BrowExt - ClickJacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Questa pagina sfrutterà una vulnerabilità di ClickJacking in un'estensione del Browser. Se non sai cos'è il ClickJacking, controlla:
ClickjackingLe estensioni contengono il file manifest.json
e quel file JSON ha un campo web_accessible_resources
. Ecco cosa dicono le documentazioni di Chrome:
Queste risorse sarebbero quindi disponibili in una pagina web tramite l'URL
chrome-extension://[PACKAGE ID]/[PATH]
, che può essere generato con ilextension.getURL method
. Le risorse autorizzate sono servite con intestazioni CORS appropriate, quindi sono disponibili tramite meccanismi come XHR.1
Le web_accessible_resources
in un'estensione del browser non sono solo accessibili tramite il web; operano anche con i privilegi intrinseci dell'estensione. Questo significa che hanno la capacità di:
Cambiare lo stato dell'estensione
Caricare risorse aggiuntive
Interagire con il browser in una certa misura
Tuttavia, questa funzionalità presenta un rischio per la sicurezza. Se una risorsa all'interno di web_accessible_resources
ha una funzionalità significativa, un attaccante potrebbe potenzialmente incorporare questa risorsa in una pagina web esterna. Gli utenti ignari che visitano questa pagina potrebbero attivare involontariamente questa risorsa incorporata. Tale attivazione potrebbe portare a conseguenze indesiderate, a seconda dei permessi e delle capacità delle risorse dell'estensione.
Nell'estensione PrivacyBadger, è stata identificata una vulnerabilità relativa alla directory skin/
dichiarata come web_accessible_resources
nel seguente modo (Controlla il post originale del blog):
Questa configurazione ha portato a un potenziale problema di sicurezza. In particolare, il file skin/popup.html
, che viene visualizzato al momento dell'interazione con l'icona di PrivacyBadger nel browser, potrebbe essere incorporato all'interno di un iframe
. Questo embedding potrebbe essere sfruttato per ingannare gli utenti a cliccare involontariamente su "Disabilita PrivacyBadger per questo sito web". Tale azione comprometterebbe la privacy dell'utente disabilitando la protezione di PrivacyBadger e potenzialmente esponendo l'utente a un tracciamento aumentato. Una dimostrazione visiva di questo exploit può essere vista in un esempio video di ClickJacking fornito su https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm.
Per affrontare questa vulnerabilità, è stata implementata una soluzione semplice: la rimozione di /skin/*
dall'elenco delle web_accessible_resources
. Questa modifica ha effettivamente mitigato il rischio assicurando che il contenuto della directory skin/
non potesse essere accessibile o manipolato tramite risorse web-accessibili.
La soluzione è stata semplice: rimuovere /skin/*
dalle web_accessible_resources
.
Un post del blog su un ClickJacking in metamask può essere trovato qui. In questo caso, Metamask ha risolto la vulnerabilità controllando che il protocollo utilizzato per accedervi fosse https:
o http:
(non chrome:
per esempio):
Un altro ClickJacking risolto nell'estensione Metamask era che gli utenti potevano Cliccare per aggiungere alla whitelist quando una pagina era sospetta di phishing a causa di “web_accessible_resources”: [“inpage.js”, “phishing.html”]
. Poiché quella pagina era vulnerabile al Clickjacking, un attaccante poteva abusarne mostrando qualcosa di normale per far cliccare la vittima per aggiungerla alla whitelist senza accorgersene, e poi tornare alla pagina di phishing che sarà aggiunta alla whitelist.
Controlla la seguente pagina per vedere come un XSS in un'estensione del browser è stato concatenato con una vulnerabilità di ClickJacking:
BrowExt - XSS ExampleImpara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)