Browser Extension Pentesting Methodology

```javascript var port = chrome.runtime.connect();

// Listen for messages from the web page window.addEventListener("message", (event) => { // Only accept messages from the same window if (event.source !== window) { return; }

// Check if the message type is "FROM_PAGE" if (event.data.type && (event.data.type === "FROM_PAGE")) { console.log("Content script received: " + event.data.text); // Forward the message to the background script port.postMessage({ type: 'FROM_PAGE', text: event.data.text }); } }, false);

// Listen for messages from the background script port.onMessage.addListener(function(msg) { console.log("Content script received message from background script:", msg); // Handle the response message from the background script });

</details>

Також можливо надсилати повідомлення з фонового скрипта до контентного скрипта, розташованого в конкретній вкладці, викликавши **`chrome.tabs.sendMessage`**, де вам потрібно буде вказати **ID вкладки**, до якої потрібно надіслати повідомлення.

### Від дозволених `externally_connectable` до розширення

**Веб-додатки та зовнішні розширення браузера, дозволені** в конфігурації `externally_connectable`, можуть надсилати запити, використовуючи:
```javascript
chrome.runtime.sendMessage(extensionId, ...

Де потрібно згадати ідентифікатор розширення.

Native Messaging

Можливо, що фонові скрипти спілкуються з двійковими файлами всередині системи, які можуть бути схильні до критичних вразливостей, таких як RCE якщо це спілкування не буде належним чином захищене. Більше про це пізніше.

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

Web ↔︎ Зв'язок скриптів контенту

Середовища, в яких працюють скрипти контенту, і де існують хост-сторінки, відокремлені одне від одного, що забезпечує ізоляцію. Незважаючи на цю ізоляцію, обидва можуть взаємодіяти з Document Object Model (DOM) сторінки, спільним ресурсом. Щоб хост-сторінка могла взаємодіяти зі скриптом контенту або непрямо з розширенням через скрипт контенту, необхідно використовувати DOM, доступний обом сторонам, як канал зв'язку.

Повідомлення постів

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect();

window.addEventListener("message", (event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return;
}

if (event.data.type && (event.data.type === "FROM_PAGE")) {
console.log("Content script received: " + event.data.text);
// Forward the message to the background script
port.postMessage(event.data.text);
}
}, false);

document.getElementById("theButton").addEventListener("click", () => {
window.postMessage(
{type : "FROM_PAGE", text : "Hello from the webpage!"}, "*");
}, false);

Безпечна комунікація Post Message повинна перевіряти автентичність отриманого повідомлення, це можна зробити, перевіряючи:

• event.isTrusted: Це True тільки якщо подія була викликана дією користувача

• Контент-скрипт може очікувати повідомлення тільки якщо користувач виконує якусь дію

• домен походження: може очікувати повідомлення тільки з дозволеного списку доменів.

• Якщо використовується regex, будьте дуже обережні

• Джерело: received_message.source !== window може бути використано для перевірки, чи було повідомлення з того ж вікна, де слухає Контент-скрипт.

Попередні перевірки, навіть якщо вони виконані, можуть бути вразливими, тому перевірте на наступній сторінці потенційні обходи Post Message:

Iframe

Ще один можливий спосіб комунікації може бути через Iframe URLs, ви можете знайти приклад у:

DOM

Це не "точно" спосіб комунікації, але веб і контент-скрипт матимуть доступ до веб DOM. Тому, якщо контент-скрипт читає якусь інформацію з нього, довіряючи веб DOM, веб може модифікувати ці дані (тому що веб не повинен бути довіреним, або тому що веб вразливий до XSS) і скомпрометувати Контент-скрипт.

Ви також можете знайти приклад DOM-орієнтованого XSS для компрометації розширення браузера у:

Комунікація Контент-скрипта ↔︎ Фоновий скрипт

Контент-скрипт може використовувати функції runtime.sendMessage() або tabs.sendMessage() для відправки одноразового JSON-серіалізованого повідомлення.

Для обробки відповіді використовуйте повернутий Promise. Хоча, для зворотної сумісності, ви все ще можете передати callback як останній аргумент.

Відправка запиту з контент-скрипта виглядає так:

(async () => {
const response = await chrome.runtime.sendMessage({greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

Відправка запиту з розширення (зазвичай фоновий скрипт). Приклад того, як надіслати повідомлення до контент-скрипту у вибраній вкладці:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
(async () => {
const [tab] = await chrome.tabs.query({active: true, lastFocusedWindow: true});
const response = await chrome.tabs.sendMessage(tab.id, {greeting: "hello"});
// do something with response here, not outside the function
console.log(response);
})();

На приймальному боці вам потрібно налаштувати runtime.onMessage слухача подій, щоб обробити повідомлення. Це виглядає однаково з контентного скрипта або сторінки розширення.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(
function(request, sender, sendResponse) {
console.log(sender.tab ?
"from a content script:" + sender.tab.url :
"from the extension");
if (request.greeting === "hello")
sendResponse({farewell: "goodbye"});
}
);

В наведеному прикладі sendResponse() було виконано синхронно. Щоб змінити обробник події onMessage для асинхронного виконання sendResponse(), необхідно додати return true;.

Важливим моментом є те, що в сценаріях, коли кілька сторінок налаштовані на отримання подій onMessage, перша сторінка, яка виконає sendResponse() для конкретної події, буде єдиною, яка зможе ефективно доставити відповідь. Будь-які подальші відповіді на ту ж подію не будуть враховані.

При створенні нових розширень слід віддавати перевагу промісам, а не зворотним викликам. Що стосується використання зворотних викликів, функція sendResponse() вважається дійсною лише в тому випадку, якщо вона виконується безпосередньо в синхронному контексті або якщо обробник події вказує на асинхронну операцію, повертаючи true. Якщо жоден з обробників не повертає true або якщо функція sendResponse() видаляється з пам'яті (збирається сміття), зворотний виклик, пов'язаний з функцією sendMessage(), буде викликаний за замовчуванням.

Native Messaging

Розширення браузера також дозволяють спілкуватися з бінарними файлами в системі через stdin. Додаток повинен встановити json, що вказує на це, у форматі json, як:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

Де name - це рядок, переданий до runtime.connectNative() або runtime.sendNativeMessage() для зв'язку з додатком з фонових скриптів розширення браузера. path - це шлях до бінарного файлу, є лише 1 дійсний type, який є stdio (використовуйте stdin і stdout), а allowed_origins вказує на розширення, які можуть отримати доступ до нього (і не можуть мати символи підстановки).

Chrome/Chromium буде шукати цей json у деяких реєстрах Windows та деяких шляхах у macOS і Linux (більше інформації в документації).

Розширення браузера також потребує дозволу nativeMessaing, щоб мати можливість використовувати це спілкування.

Ось як виглядає код деякого фонового скрипта, що надсилає повідомлення до рідного додатку:

chrome.runtime.sendNativeMessage(
'com.my_company.my_application',
{text: 'Hello'},
function (response) {
console.log('Received ' + response);
}
);

У цьому блозі пропонується вразливий шаблон, що зловживає рідними повідомленнями:

1. Розширення браузера має шаблон з підстановкою для контентного скрипта.

2. Контентний скрипт передає повідомлення postMessage до фонової скрипта, використовуючи sendMessage.

3. Фоновий скрипт передає повідомлення до рідної програми, використовуючи sendNativeMessage.

4. Рідна програма обробляє повідомлення небезпечно, що призводить до виконання коду.

І всередині нього пояснюється приклад переходу з будь-якої сторінки до RCE, зловживаючи розширенням браузера.

Чутлива інформація в пам'яті/коді/буфері обміну

Якщо Розширення Браузера зберігає чутливу інформацію в своїй пам'яті, це може бути вивантажено (особливо на машинах Windows) і пошукано для цієї інформації.

Отже, пам'ять Розширення Браузера не повинна вважатися безпечною, і чутлива інформація, така як облікові дані або мнемонічні фрази, не повинна зберігатися.

Звичайно, не вставляйте чутливу інформацію в код, оскільки вона буде публічною.

Щоб вивантажити пам'ять з браузера, ви можете вивантажити пам'ять процесу або перейти до налаштувань розширення браузера, натиснувши Перевірити спливаюче вікно -> У розділі Пам'ять -> Зробити знімок і CTRL+F для пошуку чутливої інформації в знімку.

Більше того, надзвичайно чутлива інформація, така як мнемонічні ключі або паролі, не повинна дозволятися для копіювання в буфер обміну (або принаймні видаляти її з буфера обміну через кілька секунд), оскільки тоді процеси, що контролюють буфер обміну, зможуть їх отримати.

Завантаження розширення в браузері

1. Завантажте Розширення Браузера та розпакуйте його.

2. Перейдіть до chrome://extensions/ і увімкніть Режим розробника.

3. Натисніть кнопку Завантажити розпаковане.

У Firefox перейдіть до about:debugging#/runtime/this-firefox і натисніть кнопку Завантажити тимчасове доповнення.

Отримання вихідного коду з магазину

Вихідний код розширення Chrome можна отримати різними способами. Нижче наведені детальні пояснення та інструкції для кожного варіанту.

Завантаження розширення як ZIP через командний рядок

Вихідний код розширення Chrome можна завантажити як ZIP-файл, використовуючи командний рядок. Це передбачає використання curl для отримання ZIP-файлу з певного URL-адреси, а потім витягнення вмісту ZIP-файлу в каталог. Ось кроки:

1. Замініть "extension_id" на фактичний ID розширення.

2. Виконайте наступні команди:

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Використовуйте сайт CRX Viewer

https://robwu.nl/crxviewer/

Використовуйте розширення CRX Viewer

Ще один зручний метод - це використання Chrome Extension Source Viewer, який є проектом з відкритим кодом. Його можна встановити з Chrome Web Store. Код джерела переглядача доступний у його репозиторії GitHub.

Перегляд коду локально встановленого розширення

Розширення Chrome, встановлені локально, також можна перевірити. Ось як:

1. Доступ до вашого локального профілю Chrome, відвідавши chrome://version/ і знайдіть поле "Profile Path".

2. Перейдіть до підпапки Extensions/ у каталозі профілю.

3. Ця папка містить всі встановлені розширення, зазвичай з їхнім кодом у читабельному форматі.

Щоб ідентифікувати розширення, ви можете зіставити їхні ID з іменами:

• Увімкніть режим розробника на сторінці about:extensions, щоб побачити ID кожного розширення.

• У кожній папці розширення файл manifest.json містить читабельне поле name, що допомагає вам ідентифікувати розширення.

Використовуйте архіватор або розпаковувач файлів

Перейдіть до Chrome Web Store і завантажте розширення. Файл матиме розширення .crx. Змініть розширення файлу з .crx на .zip. Використовуйте будь-який архіватор (наприклад, WinRAR, 7-Zip тощо), щоб витягти вміст ZIP-файлу.

Використовуйте режим розробника в Chrome

Відкрийте Chrome і перейдіть до chrome://extensions/. Увімкніть "Режим розробника" у верхньому правому куті. Натисніть "Завантажити розпаковане розширення...". Перейдіть до каталогу вашого розширення. Це не завантажує код джерела, але корисно для перегляду та модифікації коду вже завантаженого або розробленого розширення.

Набір даних маніфестів розширень Chrome

Щоб спробувати виявити вразливі браузерні розширення, ви можете використовувати https://github.com/palant/chrome-extension-manifests-dataset і перевірити їхні файли маніфестів на потенційно вразливі ознаки. Наприклад, щоб перевірити розширення з більш ніж 25000 користувачів, content_scripts та дозволом nativeMessaing:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Перевірочний список безпеки

Навіть якщо браузерні розширення мають обмежену площу атаки, деякі з них можуть містити вразливості або потенційні покращення безпеки. Найбільш поширені з них:

• Обмежити запитувані permissions якомога більше

• Обмежити host_permissions якомога більше

• Використовуйте сильну content_security_policy

• Обмежити externally_connectable якомога більше, якщо це не потрібно і можливо, не залишайте його за замовчуванням, вкажіть {}

• Якщо тут згадується URL, вразливий до XSS або захоплення, зловмисник зможе надсилати повідомлення безпосередньо до фонових скриптів. Дуже потужний обхід.

• Обмежити web_accessible_resources якомога більше, навіть порожні, якщо можливо.

• Якщо web_accessible_resources не порожнє, перевірте на ClickJacking

• Якщо відбувається будь-яка комунікація з розширення до веб-сторінки, перевірте на XSS вразливості, викликані в комунікації.

• Якщо використовуються повідомлення Post, перевірте на вразливості Post Message.

• Якщо Content Script отримує доступ до деталей DOM, перевірте, що вони не вводять XSS, якщо їх модифікують веб

• Зробіть особливий акцент, якщо ця комунікація також залучена в комунікацію Content Script -> Background script

• Якщо фоновий скрипт спілкується через native messaging, перевірте, що комунікація є безпечною та очищеною

• Чутливу інформацію не слід зберігати всередині коду браузерного розширення

• Чутливу інформацію не слід зберігати всередині пам'яті браузерного розширення

• Чутливу інформацію не слід зберігати всередині файлової системи без захисту

Інструменти

Tarnish

• Завантажує будь-яке розширення Chrome з наданого посилання на веб-магазин Chrome.

• manifest.json переглядач: просто відображає версію JSON з форматуванням маніфесту розширення.

• Аналіз відбитків: Виявлення web_accessible_resources та автоматичне генерування JavaScript для відбитків розширення Chrome.

• Аналіз потенційного Clickjacking: Виявлення HTML-сторінок розширення з встановленою директивою web_accessible_resources. Вони можуть бути вразливими до clickjacking в залежності від мети сторінок.

• Переглядач попереджень про дозволи: який показує список усіх попереджень про запити дозволів Chrome, які будуть відображені при спробі користувача встановити розширення.

• Небезпечні функції: показує місцезнаходження небезпечних функцій, які можуть бути потенційно використані зловмисником (наприклад, функції, такі як innerHTML, chrome.tabs.executeScript).

• Точки входу: показує, де розширення приймає вхідні дані від користувача/зовнішніх джерел. Це корисно для розуміння площі поверхні розширення та пошуку потенційних точок для надсилання зловмисно створених даних до розширення.

• Як сканери Небезпечних функцій, так і Точок входу мають наступне для своїх згенерованих сповіщень:

• Відповідний фрагмент коду та рядок, що викликав сповіщення.

• Опис проблеми.

• Кнопка "Переглянути файл" для перегляду повного вихідного файлу, що містить код.

• Шлях до сповіщеного файлу.

• Повний URI розширення Chrome сповіщеного файлу.

• Тип файлу, наприклад, скрипт фонової сторінки, скрипт контенту, браузерна дія тощо.

• Якщо вразливий рядок знаходиться в JavaScript-файлі, шляхи всіх сторінок, де він включений, а також тип цих сторінок і статус web_accessible_resource.

• Аналізатор політики безпеки контенту (CSP) та перевірка обходу: Це вказує на слабкі місця в CSP вашого розширення та також виявляє будь-які потенційні способи обійти ваш CSP через білий список CDN тощо.

• Відомі вразливі бібліотеки: Це використовує Retire.js для перевірки наявності використання відомих вразливих JavaScript-бібліотек.

• Завантажити розширення та відформатовані версії.

• Завантажити оригінальне розширення.

• Завантажити покращену версію розширення (автоформатований HTML та JavaScript).

• Автоматичне кешування результатів сканування, запуск сканування розширення займе певний час при першому запуску. Однак, при другому запуску, якщо розширення не було оновлено, це буде майже миттєво через кешовані результати.

• Посилання на URL звітів, легко поділитися з кимось іншим звітом про розширення, згенерованим tarnish.

Neto

Проект Neto - це пакет Python 3, задуманий для аналізу та розкриття прихованих функцій плагінів і розширень браузера для відомих браузерів, таких як Firefox і Chrome. Він автоматизує процес розпакування упакованих файлів для вилучення цих функцій з відповідних ресурсів у розширенні, таких як manifest.json, папки локалізації або вихідні файли Javascript і HTML.

Посилання

• Дякуємо @naivenom за допомогу з цією методологією

• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing

• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/

• https://palant.info/2022/08/24/attack-surface-of-extension-pages/

• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/

• https://help.passbolt.com/assets/files/PBL-02-report.pdf

• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts

• https://developer.chrome.com/docs/extensions/mv2/background-pages

• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/

• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)