Chrome扩展攻击指南(一):基础知识
浏览器扩展有以下特点,认为是不错的攻击目标
- 使用量大
- 功能和权限非常丰富
- 开发者鱼龙混杂
- 业界关注度不高
本文尝试从整体组件架构和历史漏洞出发,总结攻击链路,尝试挖掘漏洞并进行攻击利用
原文写于2023.5内部分享,现简单编辑后拆分为3篇发出
介绍Chrome扩展的各种组件功能和通信机制,和一些参考资料
结合漏洞案例,分析各组件的攻击面,最终绘制完整的攻击链路图
对商店的全量扩展进行扫描分析,统计风险和漏洞情况
浏览器扩展有以下特点,认为是不错的攻击目标
本文尝试从整体组件架构和历史漏洞出发,总结攻击链路,尝试挖掘漏洞并进行攻击利用
原文写于2023.5内部分享,现简单编辑后拆分为3篇发出
介绍Chrome扩展的各种组件功能和通信机制,和一些参考资料
结合漏洞案例,分析各组件的攻击面,最终绘制完整的攻击链路图
对商店的全量扩展进行扫描分析,统计风险和漏洞情况