// Listen for messages from the web page window.addEventListener( “message”, (event) => { // Only accept messages from the same window if (event.source !== window) { return }

// Check if the message type is “FROM_PAGE” if (event.data.type && event.data.type === “FROM_PAGE”) { console.log(“Content script received: “ + event.data.text) // Forward the message to the background script port.postMessage({ type: “FROM_PAGE”, text: event.data.text }) } }, false )

// Listen for messages from the background script port.onMessage.addListener(function (msg) { console.log(“Content script received message from background script:”, msg) // Handle the response message from the background script })

</details>

Il est également possible d'envoyer des messages depuis un background script vers un content script situé dans un onglet spécifique en appelant **`chrome.tabs.sendMessage`**, où vous devrez indiquer l'**identifiant (ID) de l'onglet** auquel envoyer le message.

### Des entités autorisées via `externally_connectable` vers l'extension

**Les Web apps et les extensions de navigateur externes autorisées** dans la configuration `externally_connectable` peuvent envoyer des requêtes en utilisant :
```javascript
chrome.runtime.sendMessage(extensionId, ...

Quand il est nécessaire de mentionner l’extension ID.

Native Messaging

Il est possible que les scripts d’arrière-plan communiquent avec des binaires présents sur le système, ce qui peut entraîner des vulnérabilités critiques telles que des RCEs si cette communication n’est pas correctement sécurisée. More on this later.

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

Communication Web ↔︎ Content Script Communication

Les environnements où opèrent les content scripts et où résident les pages hôtes sont séparés les uns des autres, garantissant une isolation. Malgré cette isolation, les deux peuvent interagir avec le Document Object Model (DOM) de la page, une ressource partagée. Pour que la page hôte communique avec le content script, ou indirectement avec l’extension via le content script, elle doit utiliser le DOM accessible aux deux parties comme canal de communication.

Post Messages

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect()

window.addEventListener(
"message",
(event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return
}

if (event.data.type && event.data.type === "FROM_PAGE") {
console.log("Content script received: " + event.data.text)
// Forward the message to the background script
port.postMessage(event.data.text)
}
},
false
)

document.getElementById("theButton").addEventListener(
"click",
() => {
window.postMessage(
{ type: "FROM_PAGE", text: "Hello from the webpage!" },
"*"
)
},
false
)

Une communication Post Message sécurisée doit vérifier l’authenticité du message reçu, cela peut être fait en vérifiant :

• event.isTrusted: This is True only if the event was triggered by a users action
• Le Content Script peut n’attendre un message que si l’utilisateur effectue une action
• origin domain: peut n’accepter un message que d’une allowlist de domaines.
• Si un regex est utilisé, faites très attention
• Source: received_message.source !== window peut être utilisé pour vérifier si le message provenait de la même fenêtre où le Content Script écoute.

Les vérifications précédentes, même si elles sont effectuées, peuvent être vulnérables, consultez donc la page suivante pour les potentiels Post Message bypasses :

PostMessage Vulnerabilities

Iframe

Une autre voie possible de communication peut se faire via des Iframe URLs, vous pouvez trouver un exemple dans :

BrowExt - XSS Example

DOM

Ce n’est pas “exactement” un moyen de communication, mais le web et le Content Script auront accès au web DOM. Donc, si le Content Script lit des informations à partir de celui-ci, en faisant confiance au web DOM, le web pourrait modifier ces données (parce que le web ne doit pas être fiable, ou parce que le web est vulnérable à XSS) et compromettre le Content Script.

Vous pouvez aussi trouver un exemple d’un DOM based XSS to compromise a browser extension dans :

BrowExt - XSS Example

Content Script ↔︎ Background Script Communication

Un Content Script peut utiliser les fonctions runtime.sendMessage() ou tabs.sendMessage() pour envoyer un message one-time JSON-serializable.

Pour gérer la réponse, utilisez la Promise retournée. Toutefois, pour compatibilité ascendante, vous pouvez toujours passer un callback comme dernier argument.

Envoyer une requête depuis un Content Script ressemble à ceci :

;(async () => {
const response = await chrome.runtime.sendMessage({ greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

Envoi d’une requête depuis l’extension (généralement un background script). Exemple montrant comment envoyer un message au content script dans l’onglet sélectionné :

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
;(async () => {
const [tab] = await chrome.tabs.query({
active: true,
lastFocusedWindow: true,
})
const response = await chrome.tabs.sendMessage(tab.id, { greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

Du côté récepteur, vous devez mettre en place un runtime.onMessage écouteur d’événements pour gérer le message. C’est identique depuis un content script ou une extension page.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(function (request, sender, sendResponse) {
console.log(
sender.tab
? "from a content script:" + sender.tab.url
: "from the extension"
)
if (request.greeting === "hello") sendResponse({ farewell: "goodbye" })
})

Dans l’exemple mis en évidence, sendResponse() a été exécutée de manière synchrone. Pour modifier le gestionnaire d’événements onMessage afin d’exécuter sendResponse() de façon asynchrone, il est impératif d’incorporer return true;.

Une considération importante est que dans les scénarios où plusieurs pages sont configurées pour recevoir des événements onMessage, la première page à exécuter sendResponse() pour un événement spécifique sera la seule capable de délivrer la réponse efficacement. Toute réponse ultérieure au même événement ne sera pas prise en compte.

Lors de la création de nouvelles extensions, la préférence devrait aller aux promises plutôt qu’aux callbacks. En ce qui concerne l’utilisation des callbacks, la fonction sendResponse() n’est considérée comme valide que si elle est exécutée directement dans le contexte synchrone, ou si le gestionnaire d’événements indique une opération asynchrone en retournant true. Si aucun des gestionnaires ne retourne true ou si la fonction sendResponse() est retirée de la mémoire (garbage-collected), le callback associé à sendMessage() sera déclenché par défaut.

Native Messaging

Browser extensions also allow to communicate with binaries in the system via stdin. The application must install a json indicating so in a json like:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

Où name est la chaîne passée à runtime.connectNative() ou runtime.sendNativeMessage() pour communiquer avec l’application depuis les scripts d’arrière-plan de l’extension du navigateur. Le path est le chemin vers le binaire, il n’existe qu’un seul type valide qui est stdio (utiliser stdin et stdout) et les allowed_origins indiquent les extensions qui peuvent y accéder (et ne peuvent pas contenir de wildcard).

Chrome/Chromium recherchera ce json dans certaines entrées du registre Windows et dans certains chemins sur macOS et Linux (plus d’infos dans les docs).

Tip

L’extension du navigateur a aussi besoin de la permission nativeMessaing déclarée afin de pouvoir utiliser cette communication.

Voici à quoi ressemble un exemple de code de script d’arrière-plan envoyant des messages à une application native :

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

In this blog post, un modèle vulnérable abusant des native messages est proposé :

1. Browser Extension a un pattern wildcard pour le content script.
2. Le content script transmet des messages postMessage au background script en utilisant sendMessage.
3. Le background script transmet le message à l’application native en utilisant sendNativeMessage.
4. L’application native traite le message de manière dangereuse, menant à une exécution de code.

Et un exemple y explique comment passer de n’importe quelle page à RCE en abusant d’une Browser Extension.

Sensitive Information in Memory/Code/Clipboard

Si une Browser Extension stocke des informations sensibles dans sa mémoire, celles-ci peuvent être dumped (surtout sur les machines Windows) et recherchées pour ces informations.

Par conséquent, la mémoire de la Browser Extension ne doit pas être considérée comme sécurisée et les informations sensibles, comme des identifiants ou des phrases mnémoniques, ne doivent pas être stockées.

Bien sûr, ne mettez pas d’informations sensibles dans le code, car il sera public.

Pour dumper la mémoire du navigateur vous pouvez dump the process memory ou aller dans les settings de la Browser Extension, cliquer sur Inspect pop-up -> dans la section Memory -> Take a snaphost et CTRL+F pour rechercher dans le snapshot des informations sensibles.

De plus, les informations hautement sensibles comme les clés mnémoniques ou les mots de passe ne devraient pas pouvoir être copiées dans le clipboard (ou au moins les supprimer du clipboard après quelques secondes), car des processus surveillant le clipboard pourront alors les récupérer.

Loading an Extension in the Browser

1. Téléchargez la Browser Extension et dézippez-la
2. Allez sur chrome://extensions/ et activez le Developer Mode
3. Cliquez sur le bouton Load unpacked

Dans Firefox, allez sur about:debugging#/runtime/this-firefox et cliquez sur le bouton Load Temporary Add-on.

Getting the source code from the store

Le code source d’une extension Chrome peut être obtenu par différentes méthodes. Ci-dessous se trouvent des explications détaillées et des instructions pour chaque option.

Download Extension as ZIP via Command Line

Le code source d’une extension Chrome peut être téléchargé en tant que fichier ZIP en utilisant la ligne de commande. Cela implique d’utiliser curl pour récupérer le fichier ZIP depuis une URL spécifique, puis d’extraire le contenu du ZIP dans un répertoire. Voici les étapes :

1. Remplacez "extension_id" par l’ID réel de l’extension.
2. Exécutez les commandes suivantes :

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Utiliser le site CRX Viewer

https://robwu.nl/crxviewer/

Utiliser l’extension CRX Viewer

Une autre méthode pratique consiste à utiliser le Chrome Extension Source Viewer, qui est un projet open-source. Il peut être installé depuis le Chrome Web Store. Le code source du viewer est disponible dans son GitHub repository.

Afficher la source d’une extension installée localement

Chrome extensions installées localement peuvent aussi être inspectées. Voici comment :

1. Accédez à votre répertoire de profil local Chrome en visitant chrome://version/ et en localisant le champ “Profile Path”.
2. Naviguez vers le sous-dossier Extensions/ dans le répertoire de profil.
3. Ce dossier contient toutes les extensions installées, généralement avec leur code source dans un format lisible.

Pour identifier les extensions, vous pouvez faire correspondre leurs IDs à leurs noms :

• Activez le Developer Mode sur la page about:extensions pour voir les IDs de chaque extension.
• Dans le dossier de chaque extension, le fichier manifest.json contient un champ name lisible, vous aidant à identifier l’extension.

Utiliser un archiver de fichiers ou un décompresseur

Allez sur le Chrome Web Store et téléchargez l’extension. Le fichier aura une extension .crx. Changez l’extension du fichier de .crx en .zip. Utilisez n’importe quel archiver (comme WinRAR, 7-Zip, etc.) pour extraire le contenu du fichier ZIP.

Utiliser le mode développeur dans Chrome

Ouvrez Chrome et allez sur chrome://extensions/. Activez “Developer mode” en haut à droite. Cliquez sur “Load unpacked extension…”. Naviguez jusqu’au répertoire de votre extension. Cela ne télécharge pas le code source, mais c’est utile pour afficher et modifier le code d’une extension déjà téléchargée ou développée.

Jeu de données des manifest d’extensions Chrome

In order to try to spot vulnerable browser extensions you could use thehttps://github.com/palant/chrome-extension-manifests-dataset and check their manifest files for potentially vulnerable signs. For example to check for extensions with more than 25000 users, content_scripts and the permission nativeMessaing:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Post-exploitation: Forced extension load & persistence (Windows)

Technique furtive pour backdoor Chromium en modifiant directement les Preferences par utilisateur et en forgeant des HMAC valides, poussant le navigateur à accepter et activer une extension unpacked arbitraire sans invites ni flags.

Forced Extension Load Preferences Mac Forgery Windows

Détection des mises à jour malveillantes d’extension (Diff statique de versions)

Les compromissions de la supply-chain arrivent souvent sous la forme de mises à jour malveillantes d’extensions auparavant bénignes. Une approche pratique et peu bruyante consiste à comparer un nouveau package d’extension avec la dernière version connue bonne en utilisant l’analyse statique (par exemple, Assemblyline). L’objectif est d’alerter sur des deltas à fort signal plutôt que sur n’importe quel changement.

Flux de travail

• Soumettre les deux versions (ancienne + nouvelle) au même profil d’analyse statique.
• Signaler les nouveaux ou mis à jour background/service worker scripts (persistence + logique privilégiée).
• Signaler les nouveaux ou mis à jour content scripts (accès DOM et collecte de données).
• Signaler les nouvelles permissions/host_permissions ajoutées dans manifest.json.
• Signaler les nouveaux domaines extraits du code (endpoints potentiels de C2/exfil).
• Signaler les nouvelles détections d’analyse statique (ex. décodage base64, récolte de cookies, constructeurs de requêtes réseau, motifs d’obfuscation).
• Signaler les anomalies statistiques comme des sauts d’entropie marqués ou des z-scores outliers dans les scripts modifiés.

Détecter précisément les changements de scripts

• Nouveau script ajouté → détecter via diff de manifest.json.
• Script existant modifié (manifest inchangé) → comparer les hashes par fichier depuis l’arborescence extraite (ex. sortie Extract d’Assemblyline). Cela attrape les mises à jour furtives des workers ou des content scripts existants.

Détections avant divulgation publique

Pour éviter les détections « mode facile » basées sur des IOCs déjà connus, désactiver les services alimentés par threat-intel et se fier aux signaux intrinsèques (domaines, signatures heuristiques, deltas de scripts, anomalies d’entropie). Cela augmente les chances de détecter des mises à jour malveillantes avant leur signalement public.

Exemple de logique d’alerte à haute confiance

• Combo faible bruit : nouveaux domaines + nouvelles détections d’analyse statique + background/service worker mis à jour + content scripts ajoutés ou mis à jour.
• Couverture plus large : nouveau domaine + background/service worker nouveau ou mis à jour (rappel plus élevé, bruit plus important).

Services Assemblyline clés pour ce workflow :

• Extract : déballe l’extension et produit des hachages par fichier.
• Characterize : calcule des caractéristiques de fichier (ex. entropie).
• JsJAWS / FrankenStrings / URLCreator : exposent des heuristiques JS, des chaînes et des domaines pour faire le diff entre versions.

Checklist d’audit de sécurité

Même si les extensions de navigateur ont une surface d’attaque limitée, certaines peuvent contenir des vulnérabilités ou des améliorations de durcissement possibles. Les points suivants sont les plus courants :

• Limiter autant que possible les permissions demandées
• Limiter autant que possible les host_permissions
• Utiliser une content_security_policy forte
• Limiter autant que possible le externally_connectable ; si aucun n’est nécessaire et possible, ne pas le laisser par défaut, spécifier {}
• Si une URL vulnérable à XSS ou à takeover est mentionnée ici, un attaquant pourra envoyer des messages directement aux background scripts. Contournement très puissant.
• Limiter autant que possible les web_accessible_resources, même vide si possible.
• Si web_accessible_resources n’est pas vide, vérifier le ClickJacking
• Si une communication se produit de l’extension vers la page web, vérifier les XSS introduites par la communication.
• Si Post Messages sont utilisés, vérifier les Post Message vulnerabilities.
• Si le Content Script accède au DOM, vérifier qu’il n’introduit pas de XSS si le DOM est modifié par la page web
• Mettre un accent particulier si cette communication implique aussi la communication Content Script -> Background script
• Si le background script communique via native messaging, vérifier que la communication est sécurisée et nettoyée
• Les informations sensibles ne devraient pas être stockées dans le code de l’extension
• Les informations sensibles ne devraient pas être stockées dans la mémoire de l’extension
• Les informations sensibles ne devraient pas être stockées sur le système de fichiers sans protection

Risques liés aux extensions de navigateur

• L’app https://crxaminer.tech/ analyse certaines données comme les permissions demandées par l’extension pour donner un niveau de risque lié à l’utilisation de l’extension.

Outils

Tarnish

• Récupère n’importe quelle extension Chrome à partir d’un lien Chrome webstore fourni.
• Visionneuse de manifest.json : affiche simplement une version JSON prettifiée du manifest de l’extension.
• Analyse de fingerprint : détection de web_accessible_resources et génération automatique de JavaScript de fingerprinting pour extensions Chrome.
• Analyse potentielle de Clickjacking : détection des pages HTML d’extension avec la directive web_accessible_resources activée. Ces pages peuvent être vulnérables au clickjacking selon leur finalité.
• Visionneuse d’avertissements de permissions : montre la liste de tous les avertissements de permission Chrome qui seront affichés lorsqu’un utilisateur tentera d’installer l’extension.
• Fonctions dangereuses : montre l’emplacement des fonctions dangereuses qui pourraient potentiellement être exploitées par un attaquant (ex. fonctions telles que innerHTML, chrome.tabs.executeScript).
• Points d’entrée : montre où l’extension prend en entrée des données utilisateur/externe. Utile pour comprendre la surface d’une extension et chercher des points potentiels d’envoi de données malicieusement conçues.
• Les scanners Dangerous Function(s) et Entry Point(s) fournissent pour chaque alerte générée :
  • Extrait de code pertinent et ligne causant l’alerte.
  • Description du problème.
  • Un bouton “View File” pour voir le fichier source complet contenant le code.
  • Le chemin du fichier alerté.
  • L’URI complet de l’extension Chrome du fichier alerté.
  • Le type de fichier (Background Page script, Content Script, Browser Action, etc.).
  • Si la ligne vulnérable est dans un fichier JavaScript, les chemins de toutes les pages où il est inclus ainsi que le type de ces pages et le statut web_accessible_resource.
• Analyseur CSP et vérificateur de contournement : pointe les faiblesses dans la CSP de votre extension et illumine les moyens potentiels de la contourner à cause de CDNs whitelistés, etc.
• Bibliothèques connues vulnérables : utilise Retire.js pour vérifier l’utilisation de bibliothèques JavaScript connues vulnérables.
• Télécharger l’extension et des versions formatées.
• Télécharger l’extension originale.
• Télécharger une version beautified de l’extension (HTML et JavaScript automatiquement prettifiés).
• Mise en cache automatique des résultats d’analyse : une première analyse prendra du temps, mais la seconde sera presque instantanée si l’extension n’a pas été mise à jour.
• URLs de rapports partageables, permettant de lier facilement quelqu’un à un rapport généré par tarnish.

Neto

Le projet Neto est un paquet Python 3 conçu pour analyser et dénouer les fonctionnalités cachées des plugins et extensions de navigateurs connus tels que Firefox et Chrome. Il automatise le processus de décompression des fichiers packagés pour extraire ces fonctionnalités à partir de ressources pertinentes dans une extension comme manifest.json, les dossiers de localisation ou les fichiers source Javascript et HTML.

Références

• Thanks to @naivenom for the help with this methodology
• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing
• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/
• https://palant.info/2022/08/24/attack-surface-of-extension-pages/
• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/
• https://help.passbolt.com/assets/files/PBL-02-report.pdf
• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts
• https://developer.chrome.com/docs/extensions/mv2/background-pages
• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/
• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0
• https://redcanary.com/blog/threat-detection/assemblyline-browser-extensions/

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.