Translated ['src/pentesting-web/browser-extension-pentesting-methodology

2025-10-10 18:36:50 +00:00 · 2025-04-13 15:32:22 +00:00 · 2025-04-13 15:32:22 +00:00 · 888747965a
commit 888747965a
parent bc6bfe8d62
1 changed files with 5 additions and 5 deletions
--- a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md
+++ b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md
@ -11,14 +11,14 @@
 ../clickjacking.md
 {{#endref}}
-एक्सटेंशन में फ़ाइल **`manifest.json`** होती है और उस JSON फ़ाइल में एक फ़ील्ड `web_accessible_resources` है। यहाँ [Chrome दस्तावेज़ों](https://developer.chrome.com/extensions/manifest/web_accessible_resources) में इसके बारे में क्या कहा गया है:
+एक्सटेंशनों में **`manifest.json`** फ़ाइल होती है और उस JSON फ़ाइल में `web_accessible_resources` नामक एक फ़ील्ड होती है। इसके बारे में [Chrome docs](https://developer.chrome.com/extensions/manifest/web_accessible_resources) में कहा गया है:
-> ये संसाधन फिर एक वेबपृष्ठ में URL **`chrome-extension://[PACKAGE ID]/[PATH]`** के माध्यम से उपलब्ध होंगे, जिसे **`extension.getURL method`** के साथ उत्पन्न किया जा सकता है। अनुमति प्राप्त संसाधन उचित CORS हेडर के साथ परोसे जाते हैं, इसलिए वे XHR जैसे तंत्रों के माध्यम से उपलब्ध होते हैं।[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1)
+> ये संसाधन फिर एक वेबपृष्ठ में URL **`chrome-extension://[PACKAGE ID]/[PATH]`** के माध्यम से उपलब्ध होंगे, जिसे **`extension.getURL method`** के साथ उत्पन्न किया जा सकता है। Allowlisted संसाधनों को उचित CORS हेडर के साथ परोसा जाता है, इसलिए वे XHR जैसे तंत्रों के माध्यम से उपलब्ध होते हैं।[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1)
-एक ब्राउज़र एक्सटेंशन में **`web_accessible_resources`** केवल वेब के माध्यम से ही नहीं, बल्कि एक्सटेंशन के अंतर्निहित विशेषाधिकारों के साथ भी कार्य करते हैं। इसका मतलब है कि उनके पास निम्नलिखित करने की क्षमता है:
+एक ब्राउज़र एक्सटेंशन में **`web_accessible_resources`** केवल वेब के माध्यम से ही नहीं, बल्कि एक्सटेंशन के अंतर्निहित विशेषाधिकारों के साथ भी कार्य करते हैं। इसका मतलब है कि उनके पास निम्नलिखित क्षमताएँ हैं:
 - एक्सटेंशन की स्थिति बदलना
- अतिरिक्त संसाधन लोड करना
+- अतिरिक्त संसाधनों को लोड करना
 - ब्राउज़र के साथ एक निश्चित हद तक बातचीत करना
 हालांकि, यह सुविधा एक सुरक्षा जोखिम प्रस्तुत करती है। यदि **`web_accessible_resources`** के भीतर कोई संसाधन महत्वपूर्ण कार्यक्षमता रखता है, तो एक हमलावर संभावित रूप से इस संसाधन को एक बाहरी वेब पृष्ठ में एम्बेड कर सकता है। इस पृष्ठ पर जाने वाले अनजान उपयोगकर्ता अनजाने में इस एम्बेडेड संसाधन को सक्रिय कर सकते हैं। ऐसी सक्रियता अनपेक्षित परिणामों का कारण बन सकती है, जो एक्सटेंशन के संसाधनों की अनुमतियों और क्षमताओं पर निर्भर करती है।
@ -79,7 +79,7 @@ A [**blog post about a ClickJacking in metamask can be found here**](https://slo
 <figure><img src="../../images/image (21).png" alt=""><figcaption></figcaption></figure>
-**Metamask एक्सटेंशन में एक और ClickJacking को ठीक किया गया** था कि उपयोगकर्ता **Click to whitelist** कर सकते थे जब एक पृष्ठ को फ़िशिंग होने का संदेह था क्योंकि `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`। चूंकि वह पृष्ठ Clickjacking के प्रति संवेदनशील था, एक हमलावर इसका दुरुपयोग कर सकता था, कुछ सामान्य दिखाकर पीड़ित को इसे व्हाइटलिस्ट करने के लिए क्लिक करने के लिए मजबूर कर सकता था, और फिर फ़िशिंग पृष्ठ पर वापस जा सकता था जिसे व्हाइटलिस्ट किया जाएगा।
+**Metamask एक्सटेंशन में एक और ClickJacking को ठीक किया गया** था कि उपयोगकर्ता **Click to whitelist** कर सकते थे जब एक पृष्ठ को फ़िशिंग होने का संदेह था क्योंकि `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`। चूंकि वह पृष्ठ Clickjacking के लिए संवेदनशील था, एक हमलावर इसका दुरुपयोग कर सकता था, कुछ सामान्य दिखाकर पीड़ित को इसे व्हाइटलिस्ट करने के लिए क्लिक करने के लिए मजबूर कर सकता था, और फिर फ़िशिंग पृष्ठ पर वापस जा सकता था जिसे व्हाइटलिस्ट किया जाएगा।
 ## Steam इन्वेंटरी हेल्पर उदाहरण