From e7d6db7b633edf2bf983308ef7cf846c9af174ae Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 13 Apr 2025 15:54:54 +0000 Subject: [PATCH] Translated ['src/pentesting-web/browser-extension-pentesting-methodology --- .../browext-clickjacking.md | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md index b8796ad7e..6fafa1b40 100644 --- a/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md +++ b/src/pentesting-web/browser-extension-pentesting-methodology/browext-clickjacking.md @@ -21,7 +21,7 @@ Os **`web_accessible_resources`** em uma extensão de navegador não são apenas - Carregar recursos adicionais - Interagir com o navegador até certo ponto -No entanto, esse recurso apresenta um risco de segurança. Se um recurso dentro de **`web_accessible_resources`** tiver alguma funcionalidade significativa, um atacante poderia potencialmente incorporar esse recurso em uma página da web externa. Usuários desavisados que visitam essa página podem ativar inadvertidamente esse recurso incorporado. Tal ativação pode levar a consequências indesejadas, dependendo das permissões e capacidades dos recursos da extensão. +No entanto, esse recurso apresenta um risco de segurança. Se um recurso dentro de **`web_accessible_resources`** tiver alguma funcionalidade significativa, um atacante poderia potencialmente incorporar esse recurso em uma página da web externa. Usuários desavisados que visitarem essa página podem ativar inadvertidamente esse recurso incorporado. Tal ativação pode levar a consequências indesejadas, dependendo das permissões e capacidades dos recursos da extensão. ## Exemplo do PrivacyBadger @@ -32,9 +32,9 @@ Na extensão PrivacyBadger, uma vulnerabilidade foi identificada relacionada ao "icons/*" ] ``` -Essa configuração levou a um potencial problema de segurança. Especificamente, o arquivo `skin/popup.html`, que é renderizado ao interagir com o ícone do PrivacyBadger no navegador, poderia ser incorporado dentro de um `iframe`. Essa incorporação poderia ser explorada para enganar os usuários a clicarem inadvertidamente em "Desativar PrivacyBadger para este Site". Tal ação comprometeria a privacidade do usuário ao desativar a proteção do PrivacyBadger e potencialmente sujeitando o usuário a um rastreamento aumentado. Uma demonstração visual dessa exploração pode ser vista em um exemplo de vídeo de ClickJacking fornecido em [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm). +Essa configuração levou a um potencial problema de segurança. Especificamente, o arquivo `skin/popup.html`, que é renderizado ao interagir com o ícone do PrivacyBadger no navegador, poderia ser incorporado dentro de um `iframe`. Essa incorporação poderia ser explorada para enganar os usuários a clicarem inadvertidamente em "Desativar PrivacyBadger para este Site". Tal ação comprometeria a privacidade do usuário ao desativar a proteção do PrivacyBadger e potencialmente sujeitar o usuário a um rastreamento aumentado. Uma demonstração visual dessa exploração pode ser vista em um exemplo de vídeo de ClickJacking fornecido em [**https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm**](https://blog.lizzie.io/clickjacking-privacy-badger/badger-fade.webm). -Para resolver essa vulnerabilidade, uma solução simples foi implementada: a remoção de `/skin/*` da lista de `web_accessible_resources`. Essa mudança efetivamente mitigou o risco ao garantir que o conteúdo do diretório `skin/` não pudesse ser acessado ou manipulado através de recursos acessíveis pela web. +Para resolver essa vulnerabilidade, uma solução simples foi implementada: a remoção de `/skin/*` da lista de `web_accessible_resources`. Essa mudança efetivamente mitigou o risco, garantindo que o conteúdo do diretório `skin/` não pudesse ser acessado ou manipulado através de recursos acessíveis pela web. A correção foi fácil: **remover `/skin/*` dos `web_accessible_resources`**.