From d77875b00334a6afa07177a22cc7ecf86356f716 Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 13 Apr 2025 15:16:08 +0000 Subject: [PATCH] Translated ['src/pentesting-web/browser-extension-pentesting-methodology --- .../browext-clickjacking.md | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md index c54de491c..2650139a3 100644 --- a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md +++ b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md @@ -13,7 +13,7 @@ Si vous ne savez pas ce qu'est le ClickJacking, consultez : Les extensions contiennent le fichier **`manifest.json`** et ce fichier JSON a un champ `web_accessible_resources`. Voici ce que disent [les docs de Chrome](https://developer.chrome.com/extensions/manifest/web_accessible_resources) à ce sujet : -> Ces ressources seraient alors disponibles dans une page web via l'URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, qui peut être générée avec la **`méthode extension.getURL`**. Les ressources autorisées sont servies avec des en-têtes CORS appropriés, donc elles sont disponibles via des mécanismes comme XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1) +> Ces ressources seraient alors disponibles dans une page web via l'URL **`chrome-extension://[PACKAGE ID]/[PATH]`**, qui peut être générée avec la **`extension.getURL method`**. Les ressources autorisées sont servies avec des en-têtes CORS appropriés, donc elles sont disponibles via des mécanismes comme XHR.[1](https://blog.lizzie.io/clickjacking-privacy-badger.html#fn.1) Les **`web_accessible_resources`** dans une extension de navigateur ne sont pas seulement accessibles via le web ; elles fonctionnent également avec les privilèges inhérents de l'extension. Cela signifie qu'elles ont la capacité de : @@ -21,7 +21,7 @@ Les **`web_accessible_resources`** dans une extension de navigateur ne sont pas - Charger des ressources supplémentaires - Interagir avec le navigateur dans une certaine mesure -Cependant, cette fonctionnalité présente un risque de sécurité. Si une ressource au sein des **`web_accessible_resources`** a une fonctionnalité significative, un attaquant pourrait potentiellement intégrer cette ressource dans une page web externe. Les utilisateurs non avertis visitant cette page pourraient involontairement activer cette ressource intégrée. Une telle activation pourrait entraîner des conséquences inattendues, en fonction des autorisations et des capacités des ressources de l'extension. +Cependant, cette fonctionnalité présente un risque de sécurité. Si une ressource au sein des **`web_accessible_resources`** a une fonctionnalité significative, un attaquant pourrait potentiellement intégrer cette ressource dans une page web externe. Les utilisateurs non méfiants visitant cette page pourraient involontairement activer cette ressource intégrée. Une telle activation pourrait entraîner des conséquences inattendues, en fonction des autorisations et des capacités des ressources de l'extension. ## Exemple PrivacyBadger @@ -83,7 +83,7 @@ Un [**article de blog sur un ClickJacking dans metamask peut être trouvé ici** ## Exemple Steam Inventory Helper -Vérifiez la page suivante pour voir comment un **XSS** dans une extension de navigateur a été enchaîné avec une vulnérabilité **ClickJacking** : +Vérifiez la page suivante pour voir comment un **XSS** dans une extension de navigateur a été enchaîné avec une vulnérabilité de **ClickJacking** : {{#ref}} browext-xss-example.md