加载不安全的脚本_【青藤云安全研究】恶意chrome扩展分析-Part1

最新推荐文章于 2024-05-16 18:45:42 发布
最新推荐文章于 2024-05-16 18:45:42 发布
阅读量716 收藏
点赞数
文章标签: 加载不安全的脚本 防止恶意刷新的js

【插播最新活动】

报名通道:青藤云安全全国巡展|新一代主机安全趋势研讨会-深圳站

0d957a9a3e4f19e5395553a35d3e40df.png

Chrome浏览器支持通过扩展来丰富其功能,在Chrome的网上应用店中,除了有正经的扩展,也存在着一些“老不正经的”扩展。通过本篇文章,我们可以了解到如何开始分析Chrome浏览器扩展。1. 获取恶意扩展
操作步骤如下:
1)获取Chrome扩展的ID。

526a72e958e389f41e0498e91c3799c4.png


2)打开chrome-extension-downloader网站,输入扩展ID,点击 Download extension。

f7b63bcc001ae8e2d8efc7e44cb8fa71.png

2. 扩展解包
下载后的Chrome扩展后缀名为.crx,但其本质为一个zip压缩包,我们可以通过修改其后缀名并使用相应的解压缩软件进行解包。

95d5e432ed4a639618db4f178824ed73.png


操作命令如下:
cp evil_ext.crx evil_ext.zip
unzip evil_ext.zip -d ext_sources3.扩展分析入口
mainfest.json文件罗列了一个Chrome扩展的基本信息,我们通过这个了解到扩展的名称、版本信息,同时还能知道运行该扩展所需要的权限,不同功能对应的js文件或者页面。
对于一个安全人员,我们在分析扩展的时候,需要重点关注mainfest.json文件的以下字段信息。

  • browser_action
    • default_popup:定义了点击扩展图标后的默认弹出内容,形式为HTML页面(如: popup.html)
  • content_scripts
    • matches:定义了插入js文件的时机,默认为 "document_idle"
    • js:定义了要插入匹配页面的 JavaScript 文件列表,它们将按照数组中指定的顺序插入(如: ["jquery.js","contentScript.js"])
    • run_at:定义了哪些页面需要插入指定的内容脚本,支持正则表达式(如: http://*.http://baidu.com)
  • permissions
    • 定义了扩展所需要的使用权限,不同的权限意味着你能够使用的不同的chrome.* API
  • content_security_policy
    • 定义了内容安全策略(CSP)(如: script-src 'self'; object-src 'self')。
    • 注意: 对content_scripts内的脚本不起作用。
  • background
    • persistent:定义扩展的后台页面,后台页面将由扩展程序系统生成,包含 scripts 属性中列出的每一个文件。
    • page:定义扩展的后台页面,内容为HTML页面(如: background.html)
    • scripts:当值为false的时候,background定义的page或者scripts为事件页面,只在需要的时候加载,不会在后台一直运行。

4. 从一个恶意扩展mainfest.json开始
通过步骤3,我们可以了解到一个浏览器扩展的分析应该先从其种的mainfest.json入手,那么下面我们具体来看一个恶意扩展的mainfest.json文件,了解它的一些基本信息。
{
"update_url": "https://clients2.google.com/service/update2/crx",
"name": "xx管家",
"version": "1.0.1.7",
"manifest_version": 2,
"description": "xx管家是一款可以改变网站主题样式的软件,不但可以改变样式,还可以在客户端内编辑样式代码,DIY自己的网页样式,让网站做到与众不同,只要浏览器安装了皮肤管家就可以使目标网站的样式进行更改",
"icons": {
......
},
"browser_action": {
......,
"default_popup": "popup.html"
},
"content_scripts": [
{
"js": [
"jquery.js",
"contentScript.js"
],
"matches": [
"http://*/*",
"https://*/*"
],
"run_at": "document_idle"
}
],
"permissions": [
"http://*/*",
"https://*/*",
"storage",
"unlimitedStorage",
"webRequest",
"webRequestBlocking",
"tabs",
"management",
"nativeMessaging"
],
"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
"background": {
"page": "background.html"
},
"web_accessible_resources": [
"jquery.js"
]
}4.1 browser_action

  • default_popup
    • popup.html:点击右上角的扩展图标后默认的弹出页面,注意HTML不支持内嵌的JavaScript代码执行。

4.2 content_scripts

  • matches
    • http://*/*:匹配使用 https 协议的任意 URL。
    • https://*/*:匹配使用 http 协议的任意 URL。
  • js
    • ["jquery.js","contentScript.js"]:结合matches,可知扩展往任意使用http以及https协议的页面依次注入"jquery.js","contentScript.js"。
  • run_at
    • document_idle:在 "document_end" 和刚发生 window.onload 事件这两个时刻之间插入js脚本,默认值。

4.3 permissions

  • http://*/*与https://*/*

授予扩展访问所有使用http、https协议的主机权限。

  • storage

使您的应用能够访问 chrome.storage API(扩展可以通过chrome.storage存储一些数据)。

  • unlimitedStorage

提供无限的存储空间,如果没有这一权限,扩展程序或应用的本地存储将限制在 5 MB 以内。

  • webRequest

监控与分析流量,可以实时地拦截、阻止或修改请求(该权限常用于实现代理功能、请求拦截功能的扩展,如Proxy SwitchyOmega、Postman)。但对于一个修改网站样式的扩展来说,这样的权限显得不正常

  • webRequestBlocking

允许你以阻塞方式使用网络请求 API(与webRequest权限配套出现)。

  • tabs

允许你获取Tab 的 url、title 和 favIconUrl 属性。

  • management

管理已经安装并且正在运行的扩展程序或应用。

  • nativeMessaging

使您的应用能够访问原生消息通信 API(内容脚本主要该API与扩展的后台或者popup进行数据传递使用)。

4.4 content_security_policy

  • script-src 'self' 'unsafe-eval';

允许非内容脚本使用eval函数。

4.5 background

  • page
    • background.html:扩展的背景页面为background.html。

5. 继mainfest.json之后的下一步
在我们分析完一个恶意扩展的mainfest.json文件之后,我们又该怎样去以一个合理的逻辑去分析扩展之间不同部分的关系,比如background对应的页面或者js脚本在什么时候执行,default_popup与content_scripts触发条件。
这里我们直接修改解包后的扩展源码,分别在background、content_scripts、default_popup的页面或者脚本中,加入弹窗函数,通过观察弹窗的顺序,来了解扩展的不同脚本的加载顺序和触发时机。5.1 修改default_popup
扩展的default_popup为popup.html,我们使用vim查看。

d0904837db6634a7c38020b45abfd567.png


popup.html加载popup.js,我们在popup.js加入alert语句,当然你也可以在其它js加入alert语句,只要popup.html会将它加载进去。

fcd6c3fee20a81903fb0379e23858160.png

5.2 修改content_scripts
步骤四中我们了解到,扩展的的内容脚本。为"jquery.js"和"contentScript.js",下面我们修改contentScript.js,加入alert语句。

be32f726eccd39d1b160167bfef7770d.png

5.3 修改background
扩展的background为background.html,我们使用vim查看。

ee5823702512285eff6203472d1714bc.png


background.html加载background.js文件,我们在其中加入alert语句。

0cc1764cbf2a092735efa40847b42313.png

5.4 通过chrome加载已解压的扩展程序

93231c60f4ed87dea7cec427a3d1ff9a.png
  • 浏览器地址栏中访问chrome://extensions
    • 将右上角的开发者模式打开
  • 选择加载已解压的扩展程序,选择我们修改后的扩展源码目录

5.5 实际加载顺序
1)当我们加载已解压的扩展程序完成后,background里的alert语句直接被触发。

f2a2e64c9d4030d07fffa36dfaf7dbfa.png


2)当我们访问任意使用HTTP协议或者HTTPS协议的网站时,content_scripts里的alert语句被触发。

40e8402ccfa7a6d2c5a2a877465fa379.png


3)当我们点击扩展图标时,default_popup里的alert语句被触发。

5bfa873965fc2cfc979495896d08ae2b.png

5.6 总结
通过5.5的分析,我们可以得出以下几点:

  • 当扩展被加载时,就会触发background里面的内容(默认情况下加载是一次性的,除非我们手动刷新后台页面)。
  • 被分析的恶意扩展会在chrome浏览器打开的所有使用HTTP或者HTTPS网站中注入内容脚本(即"jquery.js"和"contentScript.js")。
  • 如果我们不去点击扩展图标,是不会触发default_popup的内容。

6. 后续工作
下一篇文章,我们将根据实际加载顺序去分析恶意扩展的真实行为,其中将会涉及到javascript、chrome调试、chrome开发者工具等内容。

weixin_39575007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
青藤云-云安全的未来-14
07-18
本报告先从云安全市场的趋势来说明云安全市场发展速度是跟着云计算的发展速度蓬勃发展,然后介绍了一些云安全的主流产品,包括了云计算提供商自身提供的安全产品和生态以及主流的第三方安全产品CWPP、CASB和CSPM。...
chrome: 谷歌插件给页面注入JS报错
CSU_Zipple的博客
08-04 2739
注意content-scirpt.js的注入时间 教程可能时间比较久远了,在实践过程中仍然存在一些问题。通过教程里的步骤向页面内注入js一直报错: 根据报错提示想到document.head是不是还没有创建出来,以至于这个返回了Null,然后突然就想起来了在manifest.json中定义了content-script.js的运行时间在document_start,这里我们需要修改为docume...
Chrome游览器插件开发踩坑总结
星辰大海-H的博客
06-28 5171
Chrome游览器插件开发 最近在尝试开发一个谷歌游览器插件,遇到了不少问题,在这里做一个简单的记录。 配置文件manifest.json { "name": "HEU官网小助手", "description" : "HEU官网小助手", "version": "1.0.0", "manifest_version": 2, "icons": { "16": "image/HEU_icon_16.jpg", "32": "image/HEU_icon_32.jpg",
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
最新发布
2401_84831638的博客
05-16 369
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
chrome 允许不安全脚本限制解决方案
Bel_Ami_n的博客
01-27 5156
背景:今天线上有个问题就是。chrome加载安全脚本的提示,组织了页面的显示。 原因:是请求跨域导致的。 跨域的集中方式: Windows:(该操作可能会被安全软件阻止) 右键Chrome快捷方式,然后点击“属性”,将命令行参数添加在“目标”栏的最后面即可,注意与主程序(Chrome.exe)之间有一个空格,命令行参数如下:(红字参数需手动修改) –unsafely-treat-insecure-origin-as-secure="http://ip:port" --user-data-dir=D:
Chrome扩展开发 内容安全策略Content Security Policy (CSP) 官方原文部分翻译.
热门推荐
mikeguo's blog
12-26 1万+
Content Security Policy (CSP) 内容安全策略 Inorder to mitigate a large class of potential cross-site scripting issues,Chrome's extension system has incorporated the general concept of Content SecurityPo
Web安全之Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 5991
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
青藤云-2022微隔离技术与安全用例研究报告-48
07-18
2022微隔离技术与安全用例研究报告 在越来越关注攻防对抗实战防护能力的今天,在零信任网络被炒的越来越热的今天,我们重新审视按照这些新理念构建的纵深防御体系,结果发现依然问题重重:在堆砌了大量安全产品后...
青藤云-2018年主机安全报告-38
07-18
随着业务数字化的发展,已经有越来越多的用户开始在主机安全领域进行布局和规划,目前青藤云安全的客户群体已经覆盖了金融、互联网、运营商、政府等各个行业。青藤云安全提供给用户的不仅是一款产品,而是一整套主机...
青藤云安全-2022漏洞管理指南-21
07-18
在过去的一年里,由于漏洞的原因,发生了两件骇人听闻的安全事件:2021 年伊始,安全行业遇到了前所未有的 Solar Winds 供应链攻击;2021 年结束时,又发现了更令人震惊的Log4Shell 漏洞,影响到数以亿计的设备。除此...
青藤云-主机安全能力建设指南-38
07-18
本指南对主机安全能力发展态势和关键技术要求进行分析,梳理了重点行业主机安全能力建设时的需求优先级和关键点,进一步明确了主机安全建设流程和评估要素,以帮助企业选择满足其需求的产品,构建高效的主机安全能力...
加载安全脚本_DolphinDB启动脚本教程
weixin_39914243的博客
12-03 282
DolphinDB database从1.0版本开始,提供了启动脚本功能。用户可以通过配置参数startup来指定用户级的启动脚本,默认值是startup.dos。通过设定启动脚本,DolphinDB启动的时候会自动完成每次启动都需要执行的工作,譬如初始化流数据,定义共享变量,加载插件脚本等。1. DolphinDB启动顺序DolphinDB节点的启动是一个复杂的过程。与启动脚本相关的脚本和任务至...
加载安全脚本_web安全机制
weixin_39951018的博客
11-24 783
常见的前端安全问题包含 XSS(Cross Site Script,跨站脚本攻击)、CSRF(Cross-site Request Forgery,跨站请求伪造)、点击劫持等。浏览器安全同源策略浏览器的同源策略限制了 document 或脚本的跨源读写能力。若域名、子域名、端口、协议其中一个有所不同,浏览器就会认为两个站点是跨源的。当 script、img、iframe、link 等包含 src ...
Chrome的alert框去掉 禁止此页再显示对话框 方法
solleook的专栏
04-26 4579
     今天工作,领导提出了一个需求,就是去掉Chrome浏览器里面的alert弹出框下面提示的禁止再显示的信息,如图:     我的第一反应就是这是Chrome浏览器自带的功能,要么就换浏览器,感觉这个需求基本实现不了,后来突然发现,并不是多次重复提示同一内容才会出现那个勾选框,而是弹出窗在1秒内连续弹出两次以上才会出现,既然发现真正的规律了,那么也好解决了,就是进行延迟操作,弹框前延迟一...
解决chrome阻止未经验证脚本加载的问题
Goals1989的博客
07-10 3391
问题 最近遇到了个问题,同事电脑的谷歌浏览器在加载websocket(实际项目用的是stomp.js)的时候,websocket连接不上。 原因 从网上获取了相似情况的图片: 首先谷歌浏览器拦截了未经验证来源的脚本,然后控制台打印出了混合内容报错,大概模板是这样的:Mixed Content: The page at '****************' was loaded over HTTPS, but requested an insecure resource '************
https加载http不安全脚本提示解决方案
最初的节奏
04-07 1万+
https加载http不安全脚本提示解决方案 本人最近在工作中遇到https加载http页面时浏览器会有不安全脚本提示,为了提升客户体验,在这里需要绕过这个不安全脚本加载提示。 https是当下的网站的主流趋势,甚至像苹果这样的大公司,则完全要求用户必须使用https地址。然而对于以前http链接来说,我们往往就存在一个兼容性问题,因为你不可能一下就全部切换过去,应该在很长一段时间内,https...
chrome安全脚本限制解决方案
石头哥
07-12 1万+
背景:今天线上有个问题就是。chrome加载安全脚本的提示,组织了页面的显示。原因:是请求跨域导致的。跨域的集中方式:http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域)http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同:12...
容器安全实战化解决方案.pdf
06-26
"容器安全实战化解决方案V2.0是由青藤云安全提供的全面且实战化的云原生安全平台。该方案经过四年多的研发与迭代,旨在应对云原生环境中的复杂安全挑战。自2019年开始专注于容器安全产品的开发,青藤云安全团队已经...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值