Browser Extension Pentesting Methodology

```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

È anche possibile inviare messaggi da uno script di background a uno script di contenuto situato in una scheda specifica chiamando **`chrome.tabs.sendMessage`** dove sarà necessario indicare l'**ID della scheda** a cui inviare il messaggio.

### Da `externally_connectable` consentito all'estensione

**Le app web e le estensioni del browser esterne consentite** nella configurazione `externally_connectable` possono inviare richieste utilizzando :
```javascript
chrome.runtime.sendMessage(extensionId, ...

Dove è necessario menzionare l'ID dell'estensione.

Messaggistica Nativa

È possibile per gli script di background comunicare con i binari all'interno del sistema, che potrebbero essere soggetti a vulnerabilità critiche come RCE se questa comunicazione non è adeguatamente protetta. Di più su questo più tardi.

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

Web ↔︎ Comunicazione tra Script di Contenuto

Gli ambienti in cui operano gli script di contenuto e dove esistono le pagine host sono separati l'uno dall'altro, garantendo isolamento. Nonostante questo isolamento, entrambi hanno la capacità di interagire con il Document Object Model (DOM) della pagina, una risorsa condivisa. Affinché la pagina host possa comunicare con lo script di contenuto, o indirettamente con l'estensione tramite lo script di contenuto, è necessario utilizzare il DOM accessibile da entrambe le parti come canale di comunicazione.

Messaggi Post

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

Una comunicazione sicura tramite Post Message dovrebbe controllare l'autenticità del messaggio ricevuto, questo può essere fatto controllando:

• event.isTrusted: Questo è True solo se l'evento è stato attivato da un'azione dell'utente

• Lo script di contenuto potrebbe aspettarsi un messaggio solo se l'utente esegue qualche azione

• dominio di origine: potrebbe aspettarsi un messaggio solo da un elenco di domini autorizzati.

• Se viene utilizzata una regex, fai molta attenzione

• Fonte: received_message.source !== window può essere utilizzato per controllare se il messaggio proviene dalla stessa finestra in cui lo Script di Contenuto sta ascoltando.

I controlli precedenti, anche se eseguiti, potrebbero essere vulnerabili, quindi controlla nella seguente pagina potenziali bypass di Post Message:

Iframe

Un altro possibile modo di comunicazione potrebbe essere attraverso URL di Iframe, puoi trovare un esempio in:

DOM

Questo non è "esattamente" un modo di comunicazione, ma il web e lo script di contenuto avranno accesso al DOM web. Quindi, se lo script di contenuto sta leggendo alcune informazioni da esso, fidandosi del DOM web, il web potrebbe modificare questi dati (perché il web non dovrebbe essere fidato, o perché il web è vulnerabile a XSS) e compromettere lo Script di Contenuto.

Puoi anche trovare un esempio di un XSS basato su DOM per compromettere un'estensione del browser in:

Comunicazione tra Script di Contenuto ↔︎ Script di Background

Uno Script di Contenuto può utilizzare le funzioni runtime.sendMessage() o tabs.sendMessage() per inviare un messaggio JSON-serializzabile una tantum.

Per gestire la risposta, utilizza la Promise restituita. Anche se, per compatibilità retroattiva, puoi ancora passare un callback come ultimo argomento.

Inviare una richiesta da uno script di contenuto appare così:

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Invio di una richiesta dall'estensione (di solito uno script di background). Esempio di come inviare un messaggio allo script di contenuto nella scheda selezionata:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Sul lato ricevente, è necessario impostare un runtime.onMessage listener di eventi per gestire il messaggio. Questo appare lo stesso da uno script di contenuto o da una pagina di estensione.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

Nell'esempio evidenziato, sendResponse() è stato eseguito in modo sincrono. Per modificare il gestore dell'evento onMessage per l'esecuzione asincrona di sendResponse(), è imperativo incorporare return true;.

Una considerazione importante è che negli scenari in cui più pagine sono impostate per ricevere eventi onMessage, la prima pagina a eseguire sendResponse() per un evento specifico sarà l'unica in grado di fornire la risposta in modo efficace. Qualsiasi risposta successiva allo stesso evento non sarà presa in considerazione.

Quando si creano nuove estensioni, la preferenza dovrebbe essere per le promesse piuttosto che per i callback. Per quanto riguarda l'uso dei callback, la funzione sendResponse() è considerata valida solo se viene eseguita direttamente all'interno del contesto sincrono, o se il gestore dell'evento indica un'operazione asincrona restituendo true. Se nessuno dei gestori restituisce true o se la funzione sendResponse() viene rimossa dalla memoria (garbage-collected), il callback associato alla funzione sendMessage() verrà attivato per impostazione predefinita.

Native Messaging

Le estensioni del browser consentono anche di comunicare con binaries nel sistema tramite stdin. L'applicazione deve installare un json che lo indica in un json come:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

Dove il name è la stringa passata a runtime.connectNative() o runtime.sendNativeMessage() per comunicare con l'applicazione dagli script di background dell'estensione del browser. Il path è il percorso del binario, c'è solo 1 type valido che è stdio (usa stdin e stdout) e gli allowed_origins indicano le estensioni che possono accedervi (e non possono avere caratteri jolly).

Chrome/Chromium cercherà questo json in alcuni registri di Windows e in alcuni percorsi in macOS e Linux (maggiori informazioni nella docs).

L'estensione del browser ha anche bisogno del permesso nativeMessaing dichiarato per poter utilizzare questa comunicazione.

Questo è come appare un codice di script di background che invia messaggi a un'applicazione nativa:

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

In questo post del blog, viene proposto un modello vulnerabile che abusa dei messaggi nativi:

1. L'estensione del browser ha un modello wildcard per lo script di contenuto.

2. Lo script di contenuto passa i messaggi postMessage allo script di background utilizzando sendMessage.

3. Lo script di background passa il messaggio all'applicazione nativa utilizzando sendNativeMessage.

4. L'applicazione nativa gestisce il messaggio in modo pericoloso, portando all'esecuzione di codice.

E all'interno di esso viene spiegato un esempio di andare da qualsiasi pagina a RCE abusando di un'estensione del browser.

Informazioni Sensibili in Memoria/Codice/Clipboard

Se un'estensione del browser memorizza informazioni sensibili all'interno della sua memoria, queste potrebbero essere dumpate (soprattutto su macchine Windows) e cercate per queste informazioni.

Pertanto, la memoria dell'estensione del browser non dovrebbe essere considerata sicura e informazioni sensibili come credenziali o frasi mnemoniche non dovrebbero essere memorizzate.

Naturalmente, non mettere informazioni sensibili nel codice, poiché saranno pubbliche.

Per dumpare la memoria dal browser, puoi dumpare la memoria del processo o andare alle impostazioni dell'estensione del browser cliccando su Ispeziona pop-up -> Nella sezione Memoria -> Prendi uno snapshot e CTRL+F per cercare all'interno dello snapshot informazioni sensibili.

Inoltre, informazioni altamente sensibili come chiavi mnemoniche o password non dovrebbero essere consentite per essere copiate negli appunti (o almeno rimuoverle dagli appunti in pochi secondi) perché poi i processi che monitorano gli appunti saranno in grado di ottenerle.

Caricamento di un'Estensione nel Browser

1. Scarica l'estensione del browser & decomprimi

2. Vai su chrome://extensions/ e abilita la Modalità Sviluppatore

3. Clicca sul pulsante Carica non impacchettata

In Firefox vai su about:debugging#/runtime/this-firefox e clicca sul pulsante Carica componente aggiuntivo temporaneo.

Ottenere il codice sorgente dallo store

Il codice sorgente di un'estensione Chrome può essere ottenuto attraverso vari metodi. Di seguito sono fornite spiegazioni dettagliate e istruzioni per ciascuna opzione.

Scarica l'estensione come ZIP tramite linea di comando

Il codice sorgente di un'estensione Chrome può essere scaricato come file ZIP utilizzando la linea di comando. Questo comporta l'uso di curl per recuperare il file ZIP da un URL specifico e poi estrarre il contenuto del file ZIP in una directory. Ecco i passaggi:

1. Sostituisci "extension_id" con l'ID effettivo dell'estensione.

2. Esegui i seguenti comandi:

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Usa il sito CRX Viewer

https://robwu.nl/crxviewer/

Usa l'estensione CRX Viewer

Un altro metodo conveniente è utilizzare il Chrome Extension Source Viewer, che è un progetto open-source. Può essere installato dal Chrome Web Store. Il codice sorgente del visualizzatore è disponibile nel suo repository GitHub.

Visualizza il sorgente dell'estensione installata localmente

Le estensioni di Chrome installate localmente possono essere ispezionate. Ecco come:

1. Accedi alla directory del tuo profilo locale di Chrome visitando chrome://version/ e localizzando il campo "Profile Path".

2. Naviga nella sottocartella Extensions/ all'interno della directory del profilo.

3. Questa cartella contiene tutte le estensioni installate, tipicamente con il loro codice sorgente in un formato leggibile.

Per identificare le estensioni, puoi mappare i loro ID ai nomi:

• Abilita la Modalità Sviluppatore nella pagina about:extensions per vedere gli ID di ciascuna estensione.

• All'interno della cartella di ciascuna estensione, il file manifest.json contiene un campo name leggibile, che ti aiuta a identificare l'estensione.

Usa un File Archiver o Unpacker

Vai al Chrome Web Store e scarica l'estensione. Il file avrà un'estensione .crx. Cambia l'estensione del file da .crx a .zip. Usa qualsiasi file archiver (come WinRAR, 7-Zip, ecc.) per estrarre il contenuto del file ZIP.

Usa la Modalità Sviluppatore in Chrome

Apri Chrome e vai su chrome://extensions/. Abilita "Modalità sviluppatore" in alto a destra. Clicca su "Carica estensione non pacchettizzata...". Naviga nella directory della tua estensione. Questo non scarica il codice sorgente, ma è utile per visualizzare e modificare il codice di un'estensione già scaricata o sviluppata.

Dataset del manifesto delle estensioni di Chrome

Per cercare di individuare estensioni del browser vulnerabili, puoi utilizzare il https://github.com/palant/chrome-extension-manifests-dataset e controllare i loro file di manifesto per segni potenzialmente vulnerabili. Ad esempio, per controllare le estensioni con più di 25000 utenti, content_scripts e il permesso nativeMessaing:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Checklist di Audit di Sicurezza

Anche se le Estensioni del Browser hanno una superficie di attacco limitata, alcune di esse potrebbero contenere vulnerabilità o miglioramenti potenziali di indurimento. Le seguenti sono le più comuni:

• Limitare il più possibile le permissions richieste

• Limitare il più possibile le host_permissions

• Utilizzare una forte content_security_policy

• Limitare il più possibile il externally_connectable, se non è necessario e possibile, non lasciarlo di default, specificare {}

• Se qui è menzionato un URL vulnerabile a XSS o a takeover, un attaccante sarà in grado di inviare messaggi agli script di background direttamente. Bypass molto potente.

• Limitare il più possibile le web_accessible_resources, anche vuote se possibile.

• Se web_accessible_resources non è nullo, controllare per ClickJacking

• Se avviene qualsiasi comunicazione dall'estensione alla pagina web, controllare per vulnerabilità XSS causate nella comunicazione.

• Se vengono utilizzati Post Messages, controllare per vulnerabilità Post Message.

• Se il Content Script accede ai dettagli del DOM, controllare che non stia introducendo un XSS se viene modificato dal web

• Fare particolare attenzione se questa comunicazione è coinvolta anche nella comunicazione Content Script -> Background script

• Se lo script di background comunica tramite native messaging, controllare che la comunicazione sia sicura e sanificata

• Le informazioni sensibili non dovrebbero essere memorizzate all'interno del codice dell'Estensione del Browser

• Le informazioni sensibili non dovrebbero essere memorizzate all'interno della memoria dell'Estensione del Browser

• Le informazioni sensibili non dovrebbero essere memorizzate all'interno del file system non protetto

Strumenti

Tarnish

• Estrae qualsiasi estensione Chrome da un link fornito del Chrome webstore.

• manifest.json visualizzatore: visualizza semplicemente una versione JSON formattata del manifesto dell'estensione.

• Analisi del Fingerprint: Rilevamento di web_accessible_resources e generazione automatica di JavaScript per il fingerprinting delle estensioni Chrome.

• Analisi Potenziale di Clickjacking: Rilevamento di pagine HTML dell'estensione con la direttiva web_accessible_resources impostata. Queste sono potenzialmente vulnerabili al clickjacking a seconda dello scopo delle pagine.

• Visualizzatore di Avvisi sui Permessi: che mostra un elenco di tutti gli avvisi di richiesta di permessi di Chrome che verranno visualizzati quando un utente tenta di installare l'estensione.

• Funzione(i) Pericolosa(e): mostra la posizione delle funzioni pericolose che potrebbero essere potenzialmente sfruttate da un attaccante (ad es. funzioni come innerHTML, chrome.tabs.executeScript).

• Punto(i) di Entrata: mostra dove l'estensione riceve input da utenti/esterni. Questo è utile per comprendere l'area di superficie di un'estensione e cercare potenziali punti per inviare dati malevoli all'estensione.

• Sia gli scanner di Funzione(i) Pericolosa(e) che di Punto(i) di Entrata hanno quanto segue per i loro avvisi generati:

• Frammento di codice pertinente e riga che ha causato l'avviso.

• Descrizione del problema.

• Un pulsante "Visualizza File" per visualizzare il file sorgente completo contenente il codice.

• Il percorso del file avvisato.

• L'URI completo dell'estensione Chrome del file avvisato.

• Il tipo di file, come uno script di Pagina di Background, Content Script, Azione del Browser, ecc.

• Se la riga vulnerabile è in un file JavaScript, i percorsi di tutte le pagine in cui è inclusa così come il tipo di queste pagine e lo stato di web_accessible_resource.

• Analizzatore di Content Security Policy (CSP) e controllore di bypass: Questo evidenzierà le debolezze nella CSP della tua estensione e illuminerà anche eventuali modi potenziali per bypassare la tua CSP a causa di CDN autorizzati, ecc.

• Librerie Vulnerabili Conosciute: Questo utilizza Retire.js per controllare l'uso di librerie JavaScript note come vulnerabili.

• Scarica estensione e versioni formattate.

• Scarica l'estensione originale.

• Scarica una versione abbellita dell'estensione (HTML e JavaScript automaticamente formattati).

• Caching automatico dei risultati della scansione, eseguire una scansione dell'estensione richiederà un buon tempo la prima volta che la esegui. Tuttavia, la seconda volta, assumendo che l'estensione non sia stata aggiornata, sarà quasi istantanea grazie ai risultati memorizzati nella cache.

• URL di Report linkabili, facilmente collegabili a qualcun altro a un report di estensione generato da tarnish.

Neto

Il progetto Neto è un pacchetto Python 3 concepito per analizzare e svelare funzionalità nascoste dei plugin e delle estensioni del browser per browser ben noti come Firefox e Chrome. Automatizza il processo di estrazione dei file impacchettati per estrarre queste funzionalità da risorse pertinenti in un'estensione come manifest.json, cartelle di localizzazione o file sorgente Javascript e HTML.

Riferimenti

• Grazie a @naivenom per l'aiuto con questa metodologia

• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing

• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/

• https://palant.info/2022/08/24/attack-surface-of-extension-pages/

• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/

• https://help.passbolt.com/assets/files/PBL-02-report.pdf

• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts

• https://developer.chrome.com/docs/extensions/mv2/background-pages

• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/

• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0