【发布时间】:2018-06-30 23:28:21
【问题描述】:
作为安全测试的一部分,我构建了一个非常基本的 Chrome 扩展程序,目的是能够读取安全 cookie 以及 localStorage 数据。我设法让它工作,这本身就是一件很糟糕的事情,但是,在构建时我使用了以下行:
chrome.tabs.executeScript(tabs[0].id, {code: '...'});
现在,来自我的understanding of this,这行代码实际上将允许您在页面上执行任何 javascript,前提是用户当然同意了权限。
有了这个,即使打开了 CSP 标头,任何人都可以很容易地创建一个扩展来做我上面所做的事情。
使用扩展程序将 Javascript 注入网页应该那么容易吗?肯定不是!?
请记住,我在我的机器上以开发者模式运行了扩展程序,并没有将它发布到 Chrome 商店,但我 haven't seen anything 关于扩展程序正在被批准,只是它们被批准并立即生效。
如果设计上可能会发生这种情况,是否有任何方法可以防止此类事情发生?是否有任何 CSP 标头等可以帮助防止这种情况发生?
谢谢大家
【问题讨论】:
-
AFAIK,浏览器扩展通常会绕过在普通网站上设置的所有安全功能。我有插件可以更改我的 DOM、添加新功能(包括小部件)、发出网络请求等。我看到的唯一检查是扩展程序需要的权限。如果提供,扩展几乎可以做任何事情。
-
我虽然是这样,但我希望,由于谷歌在网络安全方面投入了大量精力,当扩展程序不在开发人员模式下运行时,可能会有一些不同的东西。对于 Google 来说,这似乎是一个巨大的安全问题......
标签: javascript google-chrome google-chrome-extension content-security-policy websecurity