JS 浏览器扩展 (`Extension`) 漏洞利用与 `Privilege Escalation`

喂喂喂，麦克风试音，一二三… 大家好！我是你们今天的客座讲师，老司机。今天咱们来聊聊一个听起来很酷，但搞不好会让你掉头发（或者直接被开除）的话题：JS 浏览器扩展的漏洞利用与权限提升。

咱们程序员嘛，最喜欢的就是用工具提高效率。浏览器扩展就是这么个好东西，装上几个，刷网页都感觉飞起来了。但！是！任何方便的东西都有它的阴暗面。扩展的权限可大着呢，一旦出了问题，那可不是闹着玩的。

今天咱们就来扒一扒，这些扩展的“底裤”，看看它们是怎么被黑客盯上的，以及我们作为开发者，该如何避免菊花被爆。

第一部分：浏览器扩展是个什么鬼？

先来简单科普一下，啥是浏览器扩展？简单来说，它就是一段代码，可以增强浏览器的功能。比如广告拦截、密码管理、网页翻译等等。

这些扩展通常是用 HTML、CSS 和 JavaScript 写的，所以，对，就是你们每天都在写的那些玩意儿。它们运行在一个特殊的沙盒环境中，有一定的权限限制，但也能访问一些浏览器 API，比如读取网页内容、修改 HTTP 请求头、甚至访问你的 Cookie！

浏览器扩展的结构一般是这样的：

文件名	作用
manifest.json	这是扩展的“身份证”，描述了扩展的名称、版本、权限、背景脚本等等。
background.js	这是扩展的“大脑”，运行在后台，负责处理各种事件，比如监听网页加载、处理消息等等。
content.js	这是扩展的“触手”，运行在每个网页中，可以修改网页内容、监听用户事件等等。
popup.html	这是扩展的“脸”，也就是点击扩展图标后弹出的界面，用户可以在这里设置扩展的选项、查看扩展的状态等等。

第二部分：扩展的权限，蜜糖还是砒霜？

manifest.json 文件中的 permissions 字段，决定了扩展能做什么。权限越高，能做的事情越多，风险也就越大。

常见的权限包括：

• activeTab: 允许扩展访问当前激活的标签页。
• cookies: 允许扩展读写 Cookie。
• storage: 允许扩展存储数据。
• <all_urls>: 允许扩展访问所有网站。

注意，<all_urls> 这个权限非常危险！一旦有了它，你的扩展几乎可以为所欲为。所以，没事别乱用，除非你真的需要它，并且知道自己在做什么。

举个例子，一个简单的 manifest.json 文件：

{
  "manifest_version": 3,
  "name": "我的牛逼扩展",
  "version": "1.0",
  "description": "一个牛逼的扩展",
  "permissions": [
    "activeTab",
    "storage"
  ],
  "background": {
    "service_worker": "background.js"
  },
  "action": {
    "default_popup": "popup.html"
  }
}

这个扩展只需要访问当前标签页和存储数据，权限相对较小。

第三部分：漏洞，无处不在的陷阱

好了，铺垫了这么多，终于要进入正题了。扩展的漏洞有很多种，常见的包括：

1. 跨站脚本攻击 (XSS)：这是最常见的漏洞之一。如果扩展没有正确地过滤用户输入，攻击者就可以注入恶意脚本，在用户的浏览器中执行。

   比如，一个扩展从网页上获取用户输入，然后直接显示在弹窗中，而没有进行任何过滤：

   // popup.js
   document.getElementById('display').innerHTML = decodeURIComponent(window.location.hash.substring(1));

   攻击者只需要构造一个包含恶意脚本的 URL，然后诱导用户点击，就可以执行任意 JavaScript 代码：

   popup.html#<img src=x onerror=alert(1)>

   防御 XSS 的方法有很多，比如使用 textContent 代替 innerHTML，使用 DOMPurify 等库进行输入过滤等等。

2. 跨站请求伪造 (CSRF)：如果扩展没有正确地验证请求的来源，攻击者就可以伪造请求，以用户的身份执行操作。

   比如，一个扩展允许用户删除自己的账号，但是没有验证请求的来源：

   // background.js
   chrome.runtime.onMessage.addListener(
     function(request, sender, sendResponse) {
       if (request.action == "deleteAccount") {
         // 没有验证请求来源
         deleteAccount(request.userId);
       }
     }
   );

   攻击者可以构造一个包含恶意 JavaScript 代码的网页，诱导用户访问，然后发送一个删除账号的请求到扩展：

   <script>
     fetch('chrome-extension://YOUR_EXTENSION_ID/background.js', {
       method: 'POST',
       body: JSON.stringify({ action: 'deleteAccount', userId: 'YOUR_USER_ID' }),
       headers: { 'Content-Type': 'application/json' }
     });
   </script>

   防御 CSRF 的方法有很多，比如添加 CSRF Token，验证请求的 Origin 或 Referer 头部等等。

3. 不安全的直接对象引用 (Insecure Direct Object References, IDOR)：如果扩展使用用户提供的 ID 直接访问对象，而没有进行权限验证，攻击者就可以访问其他用户的对象。

   比如，一个扩展允许用户查看自己的个人资料，但是没有验证用户是否有权限访问其他用户的资料：

   // background.js
   chrome.runtime.onMessage.addListener(
     function(request, sender, sendResponse) {
       if (request.action == "getProfile") {
         // 没有验证用户是否有权限访问其他用户的资料
         getProfile(request.userId);
       }
     }
   );

   攻击者只需要修改 userId 参数，就可以访问其他用户的资料。

   防御 IDOR 的方法是，始终验证用户是否有权限访问他们正在访问的对象。

4. 权限提升 (Privilege Escalation)：如果扩展存在漏洞，攻击者可以利用这些漏洞提升自己的权限，从而访问原本无权访问的资源。

   比如，一个扩展使用 chrome.downloads.download API 下载文件，但是没有正确地验证下载 URL，攻击者就可以下载任意文件到用户的电脑上。

   // background.js
   chrome.runtime.onMessage.addListener(
     function(request, sender, sendResponse) {
       if (request.action == "downloadFile") {
         // 没有验证下载 URL
         chrome.downloads.download({
           url: request.fileUrl,
           filename: request.filename
         });
       }
     }
   );

   攻击者可以发送一个包含恶意 URL 的请求到扩展，下载恶意软件到用户的电脑上。

   防御权限提升的方法是，始终验证用户输入，并使用最小权限原则，只授予扩展必要的权限。

5. 代码注入 (Code Injection)：如果扩展没有正确地处理外部数据，攻击者可以注入恶意代码，在扩展的上下文中执行。

   比如，一个扩展使用 eval() 函数执行用户提供的代码：

   // background.js
   chrome.runtime.onMessage.addListener(
     function(request, sender, sendResponse) {
       if (request.action == "executeCode") {
         // 使用 eval() 函数执行用户提供的代码
         eval(request.code);
       }
     }
   );

   攻击者可以发送一个包含恶意 JavaScript 代码的请求到扩展，执行任意代码。

   防御代码注入的方法是，永远不要使用 eval() 函数，尽量使用安全的 API 代替。

第四部分：实战演练，漏洞利用的正确姿势

说了这么多理论，不如来点实际的。咱们假设有一个存在 XSS 漏洞的扩展，然后看看如何利用这个漏洞。

假设这个扩展的代码如下：

<!-- popup.html -->
<!DOCTYPE html>
<html>
<head>
  <title>XSS Demo</title>
</head>
<body>
  <h1>XSS Demo</h1>
  <div id="output"></div>
  <script src="popup.js"></script>
</body>
</html>

// popup.js
document.getElementById('output').innerHTML = decodeURIComponent(window.location.hash.substring(1));

这个扩展从 URL 的 hash 部分获取数据，然后直接显示在页面上，存在明显的 XSS 漏洞。

现在，我们来利用这个漏洞，弹出一个警告框：

1. 构造包含恶意脚本的 URL：

   popup.html#<img src=x onerror=alert('XSS!')>

2. 诱导用户点击这个 URL。

3. 当用户点击这个 URL 时，恶意脚本就会被执行，弹出一个警告框。

当然，这只是一个简单的例子。在实际攻击中，攻击者可以利用 XSS 漏洞做更多的事情，比如窃取用户的 Cookie、修改网页内容、甚至控制用户的浏览器。

第五部分：如何保护你的扩展，以及你的菊花

好了，说了这么多漏洞，也该说说如何防御了。以下是一些建议：

1. 最小权限原则：只申请扩展需要的权限，不要贪多求全。
2. 输入验证：对所有用户输入进行验证，确保输入是有效的、安全的。
3. 输出编码：对所有输出进行编码，防止 XSS 攻击。
4. 使用安全的 API：尽量使用安全的 API 代替不安全的 API，比如使用 textContent 代替 innerHTML。
5. 代码审查：定期进行代码审查，发现并修复潜在的漏洞。
6. 使用 Content Security Policy (CSP)：CSP 可以限制扩展可以加载的资源，防止恶意脚本的注入。
7. 定期更新依赖：保持依赖库的更新，修复已知的漏洞。
8. 不要相信用户输入：永远不要相信用户输入，即使是来自你自己的网站。

总结

浏览器扩展的安全是一个非常重要的话题。作为开发者，我们有责任确保我们的扩展是安全的，防止用户的隐私泄露和安全受到威胁。

希望今天的讲座对大家有所帮助。记住，安全无小事，时刻保持警惕，才能保护好自己和用户的信息安全。

最后，送给大家一句话：Code with caution, sleep with peace.

下课！