Translated ['src/pentesting-web/browser-extension-pentesting-methodology

2025-10-10 18:36:50 +00:00 · 2025-04-13 15:32:16 +00:00 · 2025-04-13 15:32:16 +00:00 · dca99ced41
commit dca99ced41
parent d1190a7052
1 changed files with 3 additions and 3 deletions
--- a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md
+++ b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md
@ -23,9 +23,9 @@

 然而，这一特性带来了安全风险。如果**`web_accessible_resources`**中的某个资源具有任何重要功能，攻击者可能会将该资源嵌入到外部网页中。毫无防备的用户访问此页面时，可能会无意中激活此嵌入的资源。这种激活可能导致意想不到的后果，具体取决于扩展资源的权限和能力。

-## PrivacyBadger 示例
+## PrivacyBadger示例

-在扩展PrivacyBadger中，发现了一个与`skin/`目录被声明为`web_accessible_resources`相关的漏洞（查看原始[博客文章](https://blog.lizzie.io/clickjacking-privacy-badger.html)）：
+在扩展PrivacyBadger中，发现了与`skin/`目录被声明为`web_accessible_resources`相关的漏洞，具体如下（查看原始[博客文章](https://blog.lizzie.io/clickjacking-privacy-badger.html)）：
 ```json
 "web_accessible_resources": [
 "skin/*",
@ -79,7 +79,7 @@ src="chrome-extension://ablpimhddhnaldgkfbpafchflffallca/skin/popup.html">

 <figure><img src="../../images/image (21).png" alt=""><figcaption></figcaption></figure>

-**另一个在 Metamask 扩展中修复的 ClickJacking** 是用户能够在页面被怀疑为钓鱼时 **点击以列入白名单**，因为 `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`。由于该页面易受 Clickjacking 攻击，攻击者可以利用它显示一些正常内容，使受害者在未注意的情况下点击以列入白名单，然后再返回到将被列入白名单的钓鱼页面。
+在 Metamask 扩展中修复的 **另一个 ClickJacking** 是用户能够在页面被怀疑为钓鱼时 **点击以列入白名单**，因为 `“web_accessible_resources”: [“inpage.js”, “phishing.html”]`。由于该页面易受 Clickjacking 攻击，攻击者可以利用它显示一些正常的内容，使受害者在未注意的情况下点击以列入白名单，然后再返回到将被列入白名单的钓鱼页面。

 ## Steam Inventory Helper 示例