diff --git a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md index c539791e7..590bc1311 100644 --- a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md +++ b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md @@ -13,7 +13,7 @@ Se você não sabe o que é ClickJacking, confira: As extensões contêm o arquivo **`manifest.json`** e esse arquivo JSON tem um campo `web_accessible_resources`. Aqui está o que [a documentação do Chrome](https://developer.chrome.com/extensions/manifest/web_accessible_resources) diz sobre isso: -> Esses recursos estariam então disponíveis em uma página da web via a URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, que pode ser gerada com o **`extension.getURL method`**. Recursos permitidos são servidos com os cabeçalhos CORS apropriados, então estão disponíveis via mecanismos como XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1) +> Esses recursos estariam disponíveis em uma página da web via a URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, que pode ser gerada com o **`extension.getURL method`**. Recursos permitidos são servidos com os cabeçalhos CORS apropriados, então estão disponíveis via mecanismos como XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1) Os **`web_accessible_resources`** em uma extensão de navegador não são apenas acessíveis via a web; eles também operam com os privilégios inerentes da extensão. Isso significa que eles têm a capacidade de: @@ -34,7 +34,7 @@ Na extensão PrivacyBadger, uma vulnerabilidade foi identificada relacionada ao ``` Essa configuração levou a um potencial problema de segurança. Especificamente, o arquivo `skin/popup.html`, que é renderizado ao interagir com o ícone do PrivacyBadger no navegador, poderia ser incorporado dentro de um `iframe`. Essa incorporação poderia ser explorada para enganar os usuários a clicarem inadvertidamente em "Desativar PrivacyBadger para este Site". Tal ação comprometeria a privacidade do usuário ao desativar a proteção do PrivacyBadger e potencialmente sujeitar o usuário a um rastreamento aumentado. Uma demonstração visual dessa exploração pode ser vista em um exemplo de vídeo de ClickJacking fornecido em [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm). -Para resolver essa vulnerabilidade, uma solução simples foi implementada: a remoção de `/skin/*` da lista de `web_accessible_resources`. Essa mudança mitigou efetivamente o risco, garantindo que o conteúdo do diretório `skin/` não pudesse ser acessado ou manipulado através de recursos acessíveis pela web. +Para resolver essa vulnerabilidade, uma solução simples foi implementada: a remoção de `/skin/*` da lista de `web_accessible_resources`. Essa mudança efetivamente mitigou o risco ao garantir que o conteúdo do diretório `skin/` não pudesse ser acessado ou manipulado através de recursos acessíveis pela web. A correção foi fácil: **remover `/skin/*` dos `web_accessible_resources`**. @@ -79,7 +79,7 @@ Um [**post de blog sobre um ClickJacking no metamask pode ser encontrado aqui**]
-**Outro ClickJacking corrigido** na extensão Metamask foi que os usuários podiam **Clicar para adicionar à lista branca** quando uma página era suspeita de phishing por causa de `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`. Como essa página era vulnerável ao Clickjacking, um atacante poderia abusar dela mostrando algo normal para fazer a vítima clicar para adicioná-la à lista branca sem perceber, e então voltar para a página de phishing que será adicionada à lista branca. +**Outro ClickJacking corrigido** na extensão Metamask foi que os usuários podiam **Clicar para adicionar à lista de permissões** quando uma página era suspeita de phishing por causa de `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`. Como essa página era vulnerável ao Clickjacking, um atacante poderia abusar dela mostrando algo normal para fazer a vítima clicar para adicioná-la à lista de permissões sem perceber, e então voltar para a página de phishing que será adicionada à lista de permissões. ## Exemplo Steam Inventory Helper