maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/browser-extension-pentesting-methodology

Browse Source
This commit is contained in:
Translator 2025-04-13 15:17:07 +00:00
parent c65b249873
commit 5b0e7ee94a
1 changed files with 3 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

6
src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md
View File

@ -13,7 +13,7 @@ Se você não sabe o que é ClickJacking, confira:
As extensões contêm o arquivo **`manifest.json`** e esse arquivo JSON tem um campo `web_accessible_resources`. Aqui está o que [a documentação do Chrome](https://developer.chrome.com/extensions/manifest/web_accessible_resources) diz sobre isso:
> Esses recursos estariam então disponíveis em uma página da web via a URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, que pode ser gerada com o **`extension.getURL method`**. Recursos permitidos são servidos com os cabeçalhos CORS apropriados, então estão disponíveis via mecanismos como XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1)
> Esses recursos estariam disponíveis em uma página da web via a URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, que pode ser gerada com o **`extension.getURL method`**. Recursos permitidos são servidos com os cabeçalhos CORS apropriados, então estão disponíveis via mecanismos como XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1)
Os **`web_accessible_resources`** em uma extensão de navegador não são apenas acessíveis via a web; eles também operam com os privilégios inerentes da extensão. Isso significa que eles têm a capacidade de:
@ -34,7 +34,7 @@ Na extensão PrivacyBadger, uma vulnerabilidade foi identificada relacionada ao
```
Essa configuração levou a um potencial problema de segurança. Especificamente, o arquivo `skin/popup.html`, que é renderizado ao interagir com o ícone do PrivacyBadger no navegador, poderia ser incorporado dentro de um `iframe`. Essa incorporação poderia ser explorada para enganar os usuários a clicarem inadvertidamente em "Desativar PrivacyBadger para este Site". Tal ação comprometeria a privacidade do usuário ao desativar a proteção do PrivacyBadger e potencialmente sujeitar o usuário a um rastreamento aumentado. Uma demonstração visual dessa exploração pode ser vista em um exemplo de vídeo de ClickJacking fornecido em [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm).
Para resolver essa vulnerabilidade, uma solução simples foi implementada: a remoção de `/skin/*` da lista de `web_accessible_resources`. Essa mudança mitigou efetivamente o risco, garantindo que o conteúdo do diretório `skin/` não pudesse ser acessado ou manipulado através de recursos acessíveis pela web.
Para resolver essa vulnerabilidade, uma solução simples foi implementada: a remoção de `/skin/*` da lista de `web_accessible_resources`. Essa mudança efetivamente mitigou o risco ao garantir que o conteúdo do diretório `skin/` não pudesse ser acessado ou manipulado através de recursos acessíveis pela web.
A correção foi fácil: **remover `/skin/*` dos `web_accessible_resources`**.
@ -79,7 +79,7 @@ Um [**post de blog sobre um ClickJacking no metamask pode ser encontrado aqui**]
<figure><img src="../../images/image (21).png" alt=""><figcaption></figcaption></figure>
**Outro ClickJacking corrigido** na extensão Metamask foi que os usuários podiam **Clicar para adicionar à lista branca** quando uma página era suspeita de phishing por causa de `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`. Como essa página era vulnerável ao Clickjacking, um atacante poderia abusar dela mostrando algo normal para fazer a vítima clicar para adicioná-la à lista branca sem perceber, e então voltar para a página de phishing que será adicionada à lista branca.
**Outro ClickJacking corrigido** na extensão Metamask foi que os usuários podiam **Clicar para adicionar à lista de permissões** quando uma página era suspeita de phishing por causa de `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`. Como essa página era vulnerável ao Clickjacking, um atacante poderia abusar dela mostrando algo normal para fazer a vítima clicar para adicioná-la à lista de permissões sem perceber, e então voltar para a página de phishing que será adicionada à lista de permissões.
## Exemplo Steam Inventory Helper