Browser Extension Pentesting Methodology

```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

Arka plan betiğinden belirli bir sekmede bulunan içerik betiğine mesaj göndermek de mümkündür; bu, mesajı göndermek için **`chrome.tabs.sendMessage`** çağrısını yaparak **sekmenin ID'sini** belirtmeniz gerektiği anlamına gelir.

### İzin verilen `externally_connectable`'dan uzantıya

`externally_connectable` yapılandırmasında izin verilen **Web uygulamaları ve harici tarayıcı uzantıları**, istek gönderebilir:
```javascript
chrome.runtime.sendMessage(extensionId, ...

Gerekli yerlerde uzantı kimliği belirtilmelidir.

Yerel Mesajlaşma

Arka plan betikleri, sistem içindeki ikili dosyalarla iletişim kurabilir; bu iletişim düzgün bir şekilde güvence altına alınmazsa RCE'ler gibi kritik güvenlik açıklarına karşı hassas olabilir. Bununla ilgili daha fazla bilgi.

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

Web ↔︎ İçerik Scripti İletişimi

İçerik scriptlerinin çalıştığı ortamlar ve ana sayfaların bulunduğu yerler ayrıdır, bu da izolasyon sağlar. Bu izolasyona rağmen, her ikisi de sayfanın Belge Nesne Modeli (DOM) ile etkileşimde bulunma yeteneğine sahiptir, bu da paylaşılan bir kaynaktır. Ana sayfanın içerik scripti ile veya içerik scripti aracılığıyla uzantıyla dolaylı olarak iletişim kurabilmesi için, her iki tarafın da erişebileceği DOM'u iletişim kanalı olarak kullanması gerekmektedir.

Post Mesajları

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

Güvenli bir Post Message iletişimi, alınan mesajın doğruluğunu kontrol etmelidir, bu şu şekilde yapılabilir:

• event.isTrusted: Bu, yalnızca olayın bir kullanıcı eylemi tarafından tetiklendiği durumlarda Doğru'dur.

• İçerik betiği, yalnızca kullanıcı bir eylem gerçekleştirdiğinde bir mesaj bekliyor olabilir.

• origin domain: yalnızca izin verilen alanlar listesinden bir mesaj bekliyor olabilir.

• Bir regex kullanılıyorsa, çok dikkatli olun.

• Source: received_message.source !== window, mesajın İçerik Betiği'nin dinlediği aynı pencereden gelip gelmediğini kontrol etmek için kullanılabilir.

Önceki kontroller, yapılsa bile, savunmasız olabilir, bu nedenle aşağıdaki sayfada potansiyel Post Message atlatmalarını kontrol edin:

Iframe

İletişim için başka bir olası yol Iframe URL'leri aracılığıyla olabilir, bir örneği burada bulabilirsiniz:

DOM

Bu "tam olarak" bir iletişim yolu değildir, ancak web ve içerik betiği web DOM'una erişime sahip olacaktır. Yani, eğer içerik betiği buradan bazı bilgileri okuyorsa, web DOM'una güveniyorsa, web bu veriyi değiştirebilir (çünkü web'e güvenilmemelidir veya web XSS'e karşı savunmasızdır) ve İçerik Betiği'ni tehlikeye atabilir.

Ayrıca, bir tarayıcı uzantısını tehlikeye atmak için DOM tabanlı bir XSS örneğini burada bulabilirsiniz:

İçerik Betiği ↔︎ Arka Plan Betiği İletişimi

Bir İçerik Betiği, runtime.sendMessage() veya tabs.sendMessage() fonksiyonlarını kullanarak bir kerelik JSON-serializable bir mesaj gönderebilir.

Yanıtı işlemek için, döndürülen Promise'i kullanın. Ancak, geriye dönük uyumluluk için, son argüman olarak hala bir callback geçebilirsiniz.

Bir içerik betiğinden bir istek göndermek şöyle görünür:

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Bir uzantıdan (genellikle bir arka plan betiği) istek gönderme. Seçilen sekmedeki içerik betiğine mesaj göndermenin bir örneği:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Alıcı tarafında, mesajı işlemek için bir runtime.onMessage olay dinleyicisi kurmanız gerekir. Bu, bir içerik betiği veya uzantı sayfasından aynı görünür.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

Öne çıkan örnekte, sendResponse() senkron bir şekilde yürütüldü. sendResponse()'nin asenkron yürütülmesi için onMessage olay işleyicisini değiştirmek, return true; eklemeyi gerektirir.

Önemli bir husus, birden fazla sayfanın onMessage olaylarını alacak şekilde ayarlandığı senaryolarda, belirli bir olay için sendResponse()'yi yürüten ilk sayfa yanıtı etkili bir şekilde iletebilecek tek sayfa olacaktır. Aynı olaya yönelik sonraki yanıtlar dikkate alınmayacaktır.

Yeni uzantılar oluştururken, geri çağırmalara kıyasla sözleşmelere yönelmek tercih edilmelidir. Geri çağırmaların kullanımıyla ilgili olarak, sendResponse() fonksiyonu yalnızca senkron bağlamda doğrudan yürütüldüğünde veya olay işleyicisi true döndürerek asenkron bir işlemi belirttiğinde geçerli kabul edilir. Hiçbir işleyici true döndürmezse veya sendResponse() fonksiyonu bellekten kaldırılırsa (çöp toplayıcı tarafından), sendMessage() fonksiyonu ile ilişkili geri çağırma varsayılan olarak tetiklenecektir.

Native Messaging

Tarayıcı uzantıları ayrıca sistemdeki ikili dosyalarla stdin üzerinden iletişim kurmaya da olanak tanır. Uygulama, bunu belirten bir json yüklemelidir:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

name değişkeni, tarayıcı uzantısının arka plan betiklerinden uygulama ile iletişim kurmak için runtime.connectNative() veya runtime.sendNativeMessage() fonksiyonuna geçirilen dizedir. path, ikili dosyanın yoludur, geçerli olan tek type stdio'dur (stdin ve stdout kullanın) ve allowed_origins, buna erişebilecek uzantıları belirtir (wildcard olamaz).

Chrome/Chromium, bu json'u bazı Windows kayıt defterlerinde ve macOS ile Linux'taki bazı yollarda arayacaktır (daha fazla bilgi için docs bölümüne bakın).

Tarayıcı uzantısının bu iletişimi kullanabilmesi için nativeMessaing izninin de tanımlanması gerekir.

Bu, bir arka plan betiği kodunun yerel bir uygulamaya mesaj göndermesinin nasıl göründüğüdür:

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

In bu blog yazısında, yerel mesajları kötüye kullanan bir zayıf desen önerilmektedir:

1. Tarayıcı uzantısı içerik betiği için bir joker karakter deseni vardır.

2. İçerik betiği postMessage mesajlarını arka plan betiğine sendMessage kullanarak iletir.

3. Arka plan betiği mesajı yerel uygulamaya sendNativeMessage kullanarak iletir.

4. Yerel uygulama mesajı tehlikeli bir şekilde işler, bu da kod yürütmeye yol açar.

Ve bunun içinde herhangi bir sayfadan RCE'ye geçiş yapma örneği bir tarayıcı uzantısını kötüye kullanarak açıklanmaktadır.

Bellekte/Kodda/Panoda Hassas Bilgiler

Eğer bir Tarayıcı Uzantısı hassas bilgileri belleğinde saklıyorsa, bu dökülebilir (özellikle Windows makinelerinde) ve bu bilgiler için arama yapılabilir.

Bu nedenle, Tarayıcı Uzantısının belleği güvenli olarak kabul edilmemelidir ve hassas bilgiler (kimlik bilgileri veya mnemonik ifadeler gibi) saklanmamalıdır.

Elbette, hassas bilgileri kodda saklamayın, çünkü bu kamusal olacaktır.

Tarayıcıdan bellek dökmek için işlem belleğini dökebilir veya tarayıcı uzantısının ayarlarına gitmek için Inspect pop-up üzerine tıklayın -> Memory bölümünde -> Take a snaphost ve hassas bilgileri bulmak için CTRL+F ile anlık görüntü içinde arama yapın.

Ayrıca, mnemonik anahtarlar veya şifreler gibi son derece hassas bilgilerin panoya kopyalanmasına izin verilmemelidir (veya en azından birkaç saniye içinde panodan kaldırılmalıdır) çünkü bu durumda panoyu izleyen işlemler bunları alabilecektir.

Tarayıcıda Bir Uzantı Yükleme

1. Tarayıcı Uzantısını indirin ve açın

2. chrome://extensions/ adresine gidin ve Geliştirici Modunu etkinleştirin

3. Yüklenmemiş butonuna tıklayın

Firefox'ta about:debugging#/runtime/this-firefox adresine gidin ve Geçici Eklenti Yükle butonuna tıklayın.

Mağazadan kaynak kodunu alma

Bir Chrome uzantısının kaynak kodu çeşitli yöntemlerle elde edilebilir. Aşağıda her seçenek için ayrıntılı açıklamalar ve talimatlar bulunmaktadır.

Komut Satırı ile ZIP Olarak Uzantıyı İndirme

Bir Chrome uzantısının kaynak kodu, komut satırı kullanılarak ZIP dosyası olarak indirilebilir. Bu, belirli bir URL'den ZIP dosyasını almak için curl kullanmayı ve ardından ZIP dosyasının içeriğini bir dizine çıkarmayı içerir. İşte adımlar:

1. "extension_id" kısmını uzantının gerçek ID'si ile değiştirin.

2. Aşağıdaki komutları çalıştırın:

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

CRX Viewer web sitesini kullanın

https://robwu.nl/crxviewer/

CRX Viewer uzantısını kullanın

Başka bir pratik yöntem, açık kaynaklı bir proje olan Chrome Extension Source Viewer'ı kullanmaktır. Chrome Web Store üzerinden yüklenebilir. Görüntüleyicinin kaynak kodu GitHub deposunda mevcuttur.

Yerel olarak yüklenmiş uzantının kaynağını görüntüleyin

Yerel olarak yüklenmiş Chrome uzantıları da incelenebilir. İşte nasıl:

1. chrome://version/ adresine giderek Chrome yerel profil dizininize erişin ve "Profil Yolu" alanını bulun.

2. Profil dizinindeki Extensions/ alt klasörüne gidin.

3. Bu klasör, genellikle okunabilir formatta kaynak kodlarıyla birlikte tüm yüklenmiş uzantıları içerir.

Uzantıları tanımlamak için, kimliklerini isimlerle eşleştirebilirsiniz:

• Her uzantının kimliklerini görmek için about:extensions sayfasında Geliştirici Modu'nu etkinleştirin.

• Her uzantının klasöründe, manifest.json dosyası okunabilir bir name alanı içerir ve bu, uzantıyı tanımlamanıza yardımcı olur.

Bir Dosya Arşivleyici veya Açıcı Kullanın

Chrome Web Store'a gidin ve uzantıyı indirin. Dosya .crx uzantısına sahip olacaktır. Dosya uzantısını .crx'den .zip'e değiştirin. ZIP dosyasının içeriğini çıkarmak için herhangi bir dosya arşivleyici (WinRAR, 7-Zip vb.) kullanın.

Chrome'da Geliştirici Modunu Kullanın

Chrome'u açın ve chrome://extensions/ adresine gidin. Sağ üstte "Geliştirici modunu" etkinleştirin. "Paketlenmemiş uzantıyı yükle..." seçeneğine tıklayın. Uzantınızın dizinine gidin. Bu, kaynak kodunu indirmez, ancak zaten indirilmiş veya geliştirilmiş bir uzantının kodunu görüntülemek ve değiştirmek için faydalıdır.

Chrome uzantı manifest veri seti

Zayıf tarayıcı uzantılarını tespit etmeye çalışmak için https://github.com/palant/chrome-extension-manifests-dataset adresini kullanabilir ve manifest dosyalarını potansiyel zayıf işaretler için kontrol edebilirsiniz. Örneğin, 25000'den fazla kullanıcısı olan, content_scripts ve nativeMessaing iznine sahip uzantıları kontrol etmek için:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Güvenlik Denetim Kontrol Listesi

Tarayıcı Uzantıları sınırlı bir saldırı yüzeyine sahip olsalar da, bazıları zayıflıklar veya potansiyel güçlendirme iyileştirmeleri içerebilir. Aşağıdakiler en yaygın olanlardır:

• İzinleri mümkün olduğunca sınırlayın

• host_permissions'ı mümkün olduğunca sınırlayın

• Güçlü bir content_security_policy kullanın

• externally_connectable'ı mümkün olduğunca sınırlayın, eğer gerek yoksa ve mümkünse varsayılan olarak bırakmayın, {} belirtin

• Eğer burada XSS veya ele geçirme için savunmasız bir URL belirtilmişse, bir saldırgan arka plan betiklerine doğrudan mesaj gönderebilir. Çok güçlü bir atlatma.

• web_accessible_resources'ı mümkün olduğunca sınırlayın, mümkünse boş bırakın.

• Eğer web_accessible_resources yoksa, ClickJacking için kontrol edin

• Eğer herhangi bir iletişim uzantıdan web sayfasına gerçekleşiyorsa, iletişimde oluşan XSS zayıflıklarını kontrol edin.

• Eğer Post Mesajları kullanılıyorsa, Post Mesaj zayıflıkları** için kontrol edin.**

• Eğer İçerik Betiği DOM detaylarına erişiyorsa, web tarafından değiştirilirse XSS girişine neden olmadıklarını kontrol edin

• Bu iletişimin İçerik Betiği -> Arka Plan betiği iletişimi ile de ilgili olduğuna özel bir vurgu yapın

• Eğer arka plan betiği yerel mesajlaşma aracılığıyla iletişim kuruyorsa, iletişimin güvenli ve temizlendiğini kontrol edin

• Hassas bilgiler Tarayıcı Uzantısı kodunun içinde saklanmamalıdır

• Hassas bilgiler Tarayıcı Uzantısı belleğinin içinde saklanmamalıdır

• Hassas bilgiler dosya sisteminde korumasız olarak saklanmamalıdır

Araçlar

Tarnish

• Sağlanan bir Chrome web mağazası bağlantısından herhangi bir Chrome uzantısını çeker.

• manifest.json görüntüleyici: uzantının manifestosunun JSON formatında düzenlenmiş bir versiyonunu basitçe görüntüler.

• Parmak İzi Analizi: web_accessible_resources tespiti ve Chrome uzantısı parmak izini oluşturmak için otomatik JavaScript üretimi.

• Potansiyel Clickjacking Analizi: web_accessible_resources direktifi ayarlanmış uzantı HTML sayfalarının tespiti. Bu sayfaların amacı doğrultusunda clickjacking'e karşı potansiyel olarak savunmasızdır.

• İzin Uyarısı görüntüleyici: uzantıyı yüklemeye çalışan bir kullanıcıya gösterilecek tüm Chrome izin istem uyarılarının listesini gösterir.

• Tehlikeli Fonksiyon(lar): bir saldırgan tarafından potansiyel olarak istismar edilebilecek tehlikeli fonksiyonların yerini gösterir (örneğin, innerHTML, chrome.tabs.executeScript gibi fonksiyonlar).

• Giriş Noktası(ları): uzantının kullanıcı/dış girdi aldığı yerleri gösterir. Bu, bir uzantının yüzey alanını anlamak ve kötü niyetli olarak hazırlanmış verileri uzantıya göndermek için potansiyel noktaları aramak için faydalıdır.

• Hem Tehlikeli Fonksiyon(lar) hem de Giriş Noktası(ları) tarayıcıları, ürettikleri uyarılar için aşağıdakileri içerir:

• Uyarıya neden olan ilgili kod parçası ve satır.

• Sorunun açıklaması.

• Kodu içeren tam kaynak dosyasını görüntülemek için bir "Dosyayı Görüntüle" butonu.

• Uyarılan dosyanın yolu.

• Uyarılan dosyanın tam Chrome uzantısı URI'si.

• Arka Plan Sayfası betiği, İçerik Betiği, Tarayıcı Eylemi vb. gibi dosyanın türü.

• Eğer savunmasız satır bir JavaScript dosyasındaysa, dahil edildiği tüm sayfaların yolları ile bu sayfaların türü ve web_accessible_resource durumu.

• İçerik Güvenlik Politikası (CSP) analizörü ve atlatma kontrolörü: Bu, uzantınızın CSP'sindeki zayıflıkları belirtecek ve beyaz listeye alınmış CDN'ler gibi CSP'nizi atlatmanın potansiyel yollarını aydınlatacaktır.

• Bilinen Savunmasız Kütüphaneler: Bu, bilinen savunmasız JavaScript kütüphanelerinin herhangi bir kullanımını kontrol etmek için Retire.js kullanır.

• Uzantıyı ve biçimlendirilmiş versiyonlarını indirin.

• Orijinal uzantıyı indirin.

• Uzantının güzelleştirilmiş bir versiyonunu indirin (otomatik olarak düzenlenmiş HTML ve JavaScript).

• Tarama sonuçlarının otomatik önbelleğe alınması, bir uzantı taraması çalıştırmak, ilk kez çalıştırdığınızda iyi bir zaman alacaktır. Ancak ikinci kez, uzantı güncellenmemişse, sonuçların önbelleğe alınması nedeniyle neredeyse anında olacaktır.

• Bağlantılı Rapor URL'leri, başkalarına tarnish tarafından üretilen bir uzantı raporuna kolayca bağlantı vermenizi sağlar.

Neto

Neto Projesi, Firefox ve Chrome gibi tanınmış tarayıcılar için tarayıcı eklentilerinin ve uzantılarının gizli özelliklerini analiz etmek ve çözmek için tasarlanmış bir Python 3 paketidir. Bu, ilgili kaynaklardan bu özellikleri çıkarmak için paketlenmiş dosyaların açılmasını otomatikleştirir, örneğin manifest.json, yerelleştirme klasörleri veya JavaScript ve HTML kaynak dosyaları.

Referanslar

• Bu metodoloji için yardımları için @naivenom'a teşekkürler

• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing

• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/

• https://palant.info/2022/08/24/attack-surface-of-extension-pages/

• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/

• https://help.passbolt.com/assets/files/PBL-02-report.pdf

• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts

• https://developer.chrome.com/docs/extensions/mv2/background-pages

• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/

• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0