From 915b25c5002b16319bfbbfc1ff3f480f06289b31 Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 13 Apr 2025 15:32:19 +0000 Subject: [PATCH] Translated ['src/pentesting-web/browser-extension-pentesting-methodology --- .../browext-clickjacking.md | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md index 94f8d687a..b12264f11 100644 --- a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md +++ b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md @@ -13,7 +13,7 @@ ClickJacking'in ne olduğunu bilmiyorsanız kontrol edin: Uzantılar, **`manifest.json`** dosyasını içerir ve bu JSON dosyasında `web_accessible_resources` alanı vardır. İşte [Chrome belgelerinde](https://developer.chrome.com/extensions/manifest/web_accessible_resources) bununla ilgili söylenenler: -> Bu kaynaklar, **`chrome-extension://[PACKAGE ID]/[PATH]`** URL'si aracılığıyla bir web sayfasında mevcut olacaktır; bu, **`extension.getURL method`** ile oluşturulabilir. Beyaz listeye alınmış kaynaklar uygun CORS başlıkları ile sunulur, bu nedenle XHR gibi mekanizmalar aracılığıyla erişilebilir.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1) +> Bu kaynaklar, **`chrome-extension://[PACKAGE ID]/[PATH]`** URL'si aracılığıyla bir web sayfasında mevcut olacaktır; bu, **`extension.getURL method`** ile oluşturulabilir. İzin verilen kaynaklar uygun CORS başlıkları ile sunulur, bu nedenle XHR gibi mekanizmalar aracılığıyla erişilebilir.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1) Bir tarayıcı uzantısındaki **`web_accessible_resources`**, yalnızca web üzerinden erişilebilir değildir; aynı zamanda uzantının doğal ayrıcalıklarıyla da çalışır. Bu, aşağıdakileri yapabilme yeteneğine sahip oldukları anlamına gelir: @@ -32,7 +32,7 @@ PrivacyBadger uzantısında, `skin/` dizininin aşağıdaki şekilde `web_access "icons/*" ] ``` -Bu yapılandırma, potansiyel bir güvenlik sorununa yol açtı. Özellikle, tarayıcıdaki PrivacyBadger simgesi ile etkileşimde bulunulduğunda render edilen `skin/popup.html` dosyası, bir `iframe` içinde gömülebilir. Bu gömme, kullanıcıları "Bu Web Sitesi için PrivacyBadger'ı Devre Dışı Bırak" butonuna yanlışlıkla tıklamaya yönlendirmek için istismar edilebilir. Böyle bir eylem, kullanıcının gizliliğini tehlikeye atarak PrivacyBadger korumasını devre dışı bırakır ve kullanıcıyı artan izlemeye maruz bırakabilir. Bu istismarın görsel bir gösterimi, [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm) adresinde sağlanan bir ClickJacking video örneğinde görülebilir. +Bu yapılandırma, potansiyel bir güvenlik sorununa yol açtı. Özellikle, tarayıcıdaki PrivacyBadger simgesi ile etkileşimde bulunulduğunda render edilen `skin/popup.html` dosyası, bir `iframe` içinde gömülebilir. Bu gömme, kullanıcıları "Bu Web Sitesi için PrivacyBadger'ı Devre Dışı Bırak" butonuna yanlışlıkla tıklamaya kandırmak için sömürülebilir. Böyle bir eylem, PrivacyBadger korumasını devre dışı bırakarak kullanıcının gizliliğini tehlikeye atar ve kullanıcıyı artan izlemeye maruz bırakabilir. Bu istismarın görsel bir gösterimi, [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm) adresinde sağlanan bir ClickJacking video örneğinde görülebilir. Bu güvenlik açığını gidermek için basit bir çözüm uygulandı: `/skin/*`'in `web_accessible_resources` listesinden kaldırılması. Bu değişiklik, `skin/` dizininin içeriğinin web erişilebilir kaynaklar aracılığıyla erişilemez veya manipüle edilemez olmasını sağlayarak riski etkili bir şekilde azalttı. @@ -83,7 +83,7 @@ A [**ClickJacking hakkında bir blog yazısı metamask'ta burada bulunabilir**]( ## Steam Envanter Yardımcı Programı Örneği -Bir tarayıcı uzantısındaki **XSS** ile **ClickJacking** açığının nasıl zincirleme yapıldığını kontrol etmek için aşağıdaki sayfayı kontrol edin: +Bir tarayıcı uzantısındaki **XSS**'nin bir **ClickJacking** açığı ile nasıl zincirleme yapıldığını kontrol etmek için aşağıdaki sayfayı kontrol edin: {{#ref}} browext-xss-example.md