Browser Extension Pentesting Methodology

```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

Takođe je moguće slati poruke iz pozadinskog skripta u sadržajni skript smešten u određenoj kartici pozivajući **`chrome.tabs.sendMessage`** gde ćete morati da navedete **ID kartice** kojoj šaljete poruku.

### Od dozvoljenog `externally_connectable` do ekstenzije

**Web aplikacije i eksternalni pregledački dodaci koji su dozvoljeni** u `externally_connectable` konfiguraciji mogu slati zahteve koristeći :
```javascript
chrome.runtime.sendMessage(extensionId, ...

Gde je potrebno pomenuti ID ekstenzije.

Native Messaging

Moguće je da skripte u pozadini komuniciraju sa binarnim datotekama unutar sistema, koje mogu biti podložne kritičnim ranjivostima kao što su RCE ako ova komunikacija nije pravilno obezbeđena. Više o tome kasnije.

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

Web ↔︎ Komunikacija Skripti za Sadržaj

Okruženja u kojima skripti za sadržaj funkcionišu i gde postoje host stranice su odvojena jedno od drugog, obezbeđujući izolaciju. I pored ove izolacije, oba imaju sposobnost da interaguju sa Modelom Objekta Dokumenta (DOM) stranice, zajedničkim resursom. Da bi host stranica mogla da komunicira sa skriptom za sadržaj, ili indirektno sa ekstenzijom putem skripte za sadržaj, potrebno je koristiti DOM koji je dostupan obe strane kao komunikacioni kanal.

Post Poruke

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

Sigurna Post Message komunikacija treba da proveri autentičnost primljene poruke, to se može uraditi proverom:

• event.isTrusted: Ovo je Tačno samo ako je događaj pokrenut akcijom korisnika

• Sadržajni skript može očekivati poruku samo ako korisnik izvrši neku akciju

• izvorna domena: može očekivati poruku samo sa dozvoljene liste domena.

• Ako se koristi regex, budite veoma oprezni

• Izvor: received_message.source !== window može se koristiti za proveru da li je poruka iz iste prozora gde Sadržajni Skript sluša.

Prethodne provere, čak i ako su izvršene, mogu biti ranjive, pa proverite na sledećoj stranici potencijalne Post Message zaobilaženja:

Iframe

Još jedan mogući način komunikacije može biti kroz Iframe URL-ove, možete pronaći primer u:

DOM

Ovo nije "tačno" način komunikacije, ali web i sadržajni skript će imati pristup web DOM-u. Dakle, ako sadržajni skript čita neke informacije iz njega, verujući web DOM-u, web bi mogao modifikovati ove podatke (jer web ne bi trebao biti poverljiv, ili zato što je web ranjiv na XSS) i kompromitovati Sadržajni Skript.

Takođe možete pronaći primer DOM baziranog XSS-a za kompromitovanje ekstenzije pretraživača u:

Komunikacija Sadržajnog Skripta ↔︎ Pozadinskog Skripta

Sadržajni Skript može koristiti funkcije runtime.sendMessage() ili tabs.sendMessage() za slanje jednokratne JSON-serializovane poruke.

Da biste obradili odgovor, koristite vraćeni Promise. Iako, za unazad kompatibilnost, još uvek možete proslediti callback kao poslednji argument.

Slanje zahteva iz sadržajnog skripta izgleda ovako:

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Slanje zahteva iz ekstenzije (obično pozadinskog skripta). Primer kako poslati poruku sadržajnom skriptu u odabranom tabu:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Na prijemnoj strani, potrebno je postaviti runtime.onMessage slušač događaja da bi se obradila poruka. Ovo izgleda isto iz skripte sadržaja ili stranice ekstenzije.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

U istaknutom primeru, sendResponse() je izvršen na sinhroni način. Da bi se modifikovao onMessage handler za asinhrono izvršavanje sendResponse(), neophodno je uključiti return true;.

Važna stvar je da u scenarijima gde više stranica treba da prime onMessage događaje, prva stranica koja izvrši sendResponse() za određeni događaj će biti jedina koja može efikasno da isporuči odgovor. Svi naredni odgovori na isti događaj neće biti uzeti u obzir.

Kada se kreiraju nove ekstenzije, prednost treba dati promenama umesto povratnim pozivima. Što se tiče korišćenja povratnih poziva, sendResponse() funkcija se smatra validnom samo ako se izvršava direktno unutar sinhronog konteksta, ili ako handler događaja označava asinhronu operaciju vraćanjem true. Ako nijedan od handlera ne vrati true ili ako je funkcija sendResponse() uklonjena iz memorije (garbage-collected), povratni poziv povezan sa sendMessage() funkcijom će se podrazumevano aktivirati.

Native Messaging

Ekstenzije pretraživača takođe omogućavaju komunikaciju sa binarima u sistemu putem stdin. Aplikacija mora instalirati json koji to označava u json formatu:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

Gde je name string koji se prosleđuje runtime.connectNative() ili runtime.sendNativeMessage() za komunikaciju sa aplikacijom iz pozadinskih skripti ekstenzije pretraživača. path je putanja do binarnog fajla, postoji samo 1 važeći type koji je stdio (koristi stdin i stdout) i allowed_origins označava ekstenzije koje mogu da mu pristupe (i ne mogu imati wildcard).

Chrome/Chromium će tražiti ovaj json u nekim registrima sistema i nekim putanjama u macOS i Linux (više informacija u docs).

Ekstenzija pretraživača takođe treba da ima dozvolu nativeMessaing deklarisanu kako bi mogla da koristi ovu komunikaciju.

Ovako izgleda neki kod pozadinske skripte koji šalje poruke native aplikaciji:

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

U ovom blog postu, predložen je ranjiv obrazac koji zloupotrebljava native poruke:

1. Ekstenzija pretraživača ima obrazac sa wildcard za sadržaj skripte.

2. Sadržaj skripte prosleđuje postMessage poruke pozadinskoj skripti koristeći sendMessage.

3. Pozadinska skripta prosleđuje poruku native aplikaciji koristeći sendNativeMessage.

4. Native aplikacija opasno obrađuje poruku, što dovodi do izvršenja koda.

I unutar njega objašnjen je primer prelaska sa bilo koje stranice na RCE zloupotrebom ekstenzije pretraživača.

Osetljive informacije u memoriji/kodu/clipboard-u

Ako ekstenzija pretraživača čuva osetljive informacije unutar svoje memorije, to može biti izvučeno (posebno na Windows mašinama) i pretraženo za te informacije.

Stoga, memorija ekstenzije pretraživača ne bi trebala biti smatrana sigurnom i osetljive informacije kao što su akreditivi ili mnemoničke fraze ne bi trebale biti čuvane.

Naravno, ne stavljajte osetljive informacije u kod, jer će to biti javno.

Da biste izvadili memoriju iz pretraživača, možete izvući memoriju procesa ili da odete na podešavanja ekstenzije pretraživača klikom na Inspect pop-up -> U Memory sekciji -> Take a snapshot i CTRL+F da pretražujete unutar snimka za osetljive informacije.

Štaviše, veoma osetljive informacije kao što su mnemoničke ključeve ili lozinke ne bi trebale biti dozvoljene da se kopiraju u clipboard (ili barem ih uklonite iz clipboard-a u nekoliko sekundi) jer će tada procesi koji prate clipboard moći da ih dobiju.

Učitavanje ekstenzije u pretraživaču

1. Preuzmite ekstenziju pretraživača & raspakujte je

2. Idite na chrome://extensions/ i omogućite Developer Mode

3. Kliknite na dugme Load unpacked

U Firefox-u idete na about:debugging#/runtime/this-firefox i kliknite na dugme Load Temporary Add-on.

Dobijanje izvornog koda iz prodavnice

Izvorni kod Chrome ekstenzije može se dobiti kroz različite metode. Ispod su detaljna objašnjenja i uputstva za svaku opciju.

Preuzimanje ekstenzije kao ZIP putem komandne linije

Izvorni kod Chrome ekstenzije može se preuzeti kao ZIP fajl koristeći komandnu liniju. To uključuje korišćenje curl za preuzimanje ZIP fajla sa specifične URL adrese i zatim ekstrakciju sadržaja ZIP fajla u direktorijum. Evo koraka:

1. Zamenite "extension_id" sa stvarnim ID-jem ekstenzije.

2. Izvršite sledeće komande:

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Koristite CRX Viewer veb sajt

https://robwu.nl/crxviewer/

Koristite CRX Viewer ekstenziju

Još jedna pogodna metoda je korišćenje Chrome Extension Source Viewer, koji je projekat otvorenog koda. Može se instalirati iz Chrome Web Store. Izvorni kod pregledača je dostupan u njegovom GitHub repozitorijumu.

Pregledajte izvor lokalno instalirane ekstenzije

Chrome ekstenzije instalirane lokalno takođe se mogu pregledati. Evo kako:

1. Pristupite svom lokalnom profilu Chrome-a tako što ćete posetiti chrome://version/ i pronaći polje "Profile Path".

2. Idite u podfolder Extensions/ unutar direktorijuma profila.

3. Ova fascikla sadrži sve instalirane ekstenzije, obično sa njihovim izvorom u čitljivom formatu.

Da biste identifikovali ekstenzije, možete mapirati njihove ID-eve na imena:

• Omogućite Developer Mode na stranici about:extensions da biste videli ID-eve svake ekstenzije.

• Unutar fascikle svake ekstenzije, datoteka manifest.json sadrži čitljivo polje name, što pomaže u identifikaciji ekstenzije.

Koristite arhivator ili raspakivač

Idite na Chrome Web Store i preuzmite ekstenziju. Datoteka će imati ekstenziju .crx. Promenite ekstenziju datoteke sa .crx na .zip. Koristite bilo koji arhivator (kao što su WinRAR, 7-Zip, itd.) da biste raspakovali sadržaj ZIP datoteke.

Koristite Developer Mode u Chrome-u

Otvorite Chrome i idite na chrome://extensions/. Omogućite "Developer mode" u gornjem desnom uglu. Kliknite na "Load unpacked extension...". Idite do direktorijuma vaše ekstenzije. Ovo ne preuzima izvorni kod, ali je korisno za pregledanje i modifikovanje koda već preuzete ili razvijene ekstenzije.

Skup podataka o manifestu Chrome ekstenzije

Da biste pokušali da uočite ranjive ekstenzije pretraživača, možete koristiti https://github.com/palant/chrome-extension-manifests-dataset i proveriti njihove manifest datoteke na potencijalno ranjive znakove. Na primer, da biste proverili ekstenzije sa više od 25000 korisnika, content_scripts i dozvolu nativeMessaging:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Lista provere bezbednosti

Iako ekstenzije za pretraživače imaju ograničenu površinu napada, neke od njih mogu sadržati ranjivosti ili potencijalna poboljšanja sigurnosti. Sledeće su najčešće:

• Ograničiti koliko je moguće tražene dozvole

• Ograničiti koliko je moguće host_permissions

• Koristiti jaku content_security_policy

• Ograničiti koliko je moguće externally_connectable, ako nije potrebno i moguće, ne ostavljati ga podrazumevano, specificirati {}

• Ako je ovde pomenut URL ranjiv na XSS ili preuzimanje, napadač će moći da šalje poruke pozadinskim skriptama direktno. Veoma moćan zaobilaženje.

• Ograničiti koliko je moguće web_accessible_resources, čak i prazno ako je moguće.

• Ako web_accessible_resources nije nijedno, proveriti ClickJacking

• Ako se bilo koja komunikacija dešava od ekstenzije do web stranice, proveriti XSS ranjivosti uzrokovane u komunikaciji.

• Ako se koriste Post Messages, proveriti Post Message ranjivosti.

• Ako Content Script pristupa DOM detaljima, proveriti da li ne uvode XSS ako ih web modifikuje

• Posebno naglasiti ako je ova komunikacija takođe uključena u Content Script -> komunikaciju pozadinske skripte

• Ako pozadinska skripta komunicira putem native messaging, proveriti da li je komunikacija sigurna i sanirana

• Osetljive informacije ne bi trebalo da budu pohranjene unutar koda ekstenzije za pretraživač

• Osetljive informacije ne bi trebalo da budu pohranjene unutar memorije ekstenzije za pretraživač

• Osetljive informacije ne bi trebalo da budu pohranjene unutar datotečnog sistema nezaštićeno

Alati

Tarnish

• Preuzima bilo koju Chrome ekstenziju sa datog linka Chrome web prodavnice.

• manifest.json pregledač: jednostavno prikazuje JSON-formatiranu verziju manifest datoteke ekstenzije.

• Analiza otiska: Detekcija web_accessible_resources i automatska generacija JavaScript-a za otiskivanje Chrome ekstenzije.

• Potencijalna analiza Clickjacking-a: Detekcija HTML stranica ekstenzije sa postavljenom direktivom web_accessible_resources. Ove su potencijalno ranjive na clickjacking u zavisnosti od svrhe stranica.

• Pregledač upozorenja o dozvolama: koji prikazuje listu svih upozorenja o dozvolama Chrome-a koja će biti prikazana kada korisnik pokuša da instalira ekstenziju.

• Opasne funkcije: prikazuje lokaciju opasnih funkcija koje bi potencijalno mogle biti iskorišćene od strane napadača (npr. funkcije kao što su innerHTML, chrome.tabs.executeScript).

• Ulazne tačke: prikazuje gde ekstenzija prima korisnički/eksterni unos. Ovo je korisno za razumevanje površine ekstenzije i traženje potencijalnih tačaka za slanje zlonamerno oblikovanih podataka ekstenziji.

• I skeneri Opasnih funkcija i Ulaznih tačaka imaju sledeće za svoje generisane alarme:

• Relevantni deo koda i linija koja je izazvala alarm.

• Opis problema.

• Dugme "Pogledaj datoteku" za pregled celokupne izvorne datoteke koja sadrži kod.

• Putanja alarmirane datoteke.

• Potpuni URI Chrome ekstenzije alarmirane datoteke.

• Tip datoteke, kao što su skripta pozadinske stranice, skripta sadržaja, akcija pretraživača, itd.

• Ako je ranjiva linija u JavaScript datoteci, putanje svih stranica gde je uključena kao i tip ovih stranica, i web_accessible_resource status.

• Analizator Content Security Policy (CSP) i proveravač zaobilaženja: Ovo će ukazati na slabosti u CSP-u vaše ekstenzije i takođe će osvetliti sve potencijalne načine zaobilaženja vašeg CSP-a zbog belih lista CDN-ova, itd.

• Poznate ranjive biblioteke: Ovo koristi Retire.js da proveri da li se koriste poznate ranjive JavaScript biblioteke.

• Preuzimanje ekstenzije i formatiranih verzija.

• Preuzimanje originalne ekstenzije.

• Preuzimanje ulepšane verzije ekstenzije (automatski formatiran HTML i JavaScript).

• Automatsko keširanje rezultata skeniranja, pokretanje skeniranja ekstenzije će potrajati neko vreme prvi put kada ga pokrenete. Međutim, drugi put, pod pretpostavkom da ekstenzija nije ažurirana, biće gotovo instant zbog keširanih rezultata.

• Linkabilni URL-ovi izveštaja, lako povezati nekoga sa izveštajem o ekstenziji generisanim od strane tarnish.

Neto

Projekat Neto je Python 3 paket osmišljen za analizu i otkrivanje skrivenih funkcija ekstenzija i dodataka za pretraživače kao što su Firefox i Chrome. Automatizuje proces raspakivanja pakovanih datoteka kako bi izvukao ove funkcije iz relevantnih resursa u ekstenziji kao što su manifest.json, folderi za lokalizaciju ili JavaScript i HTML izvorne datoteke.

Reference

• Zahvaljujući @naivenom za pomoć sa ovom metodologijom

• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing

• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/

• https://palant.info/2022/08/24/attack-surface-of-extension-pages/

• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/

• https://help.passbolt.com/assets/files/PBL-02-report.pdf

• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts

• https://developer.chrome.com/docs/extensions/mv2/background-pages

• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/

• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0