// Listen for messages from the web page window.addEventListener( “message”, (event) => { // Only accept messages from the same window if (event.source !== window) { return }

// Check if the message type is “FROM_PAGE” if (event.data.type && event.data.type === “FROM_PAGE”) { console.log(“Content script received: “ + event.data.text) // Forward the message to the background script port.postMessage({ type: “FROM_PAGE”, text: event.data.text }) } }, false )

// Listen for messages from the background script port.onMessage.addListener(function (msg) { console.log(“Content script received message from background script:”, msg) // Handle the response message from the background script })

</details>

バックグラウンドスクリプトから、特定のタブにあるコンテンツスクリプトに対して**`chrome.tabs.sendMessage`**を呼び出してメッセージを送ることも可能で、その際はメッセージを送る**タブのID**を指定する必要があります。

### 許可された `externally_connectable` から拡張機能へ

`externally_connectable` 設定で許可された **Web アプリおよび外部ブラウザ拡張機能** は、次を使用してリクエストを送信できます :
```javascript
chrome.runtime.sendMessage(extensionId, ...

必要に応じてextension IDを記載してください。

Native Messaging

バックグラウンドスクリプトはシステム内のバイナリと通信することが可能であり、この通信が適切に保護されていないとRCEsのような重大な脆弱性を招きやすい。 More on this later.

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

Web ↔︎ Content Script Communication

content scripts が動作する環境とホストページが存在する環境は互いに分離されており、隔離が確保されています。この隔離にもかかわらず、両者は共有リソースであるページの Document Object Model (DOM) にアクセスして操作することが可能です。ホストページが content script と通信する、または content script を介して extension と間接的にやり取りするためには、両者がアクセスできる通信チャネルとして DOM を利用する必要があります。

Post Messages

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect()

window.addEventListener(
"message",
(event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return
}

if (event.data.type && event.data.type === "FROM_PAGE") {
console.log("Content script received: " + event.data.text)
// Forward the message to the background script
port.postMessage(event.data.text)
}
},
false
)

document.getElementById("theButton").addEventListener(
"click",
() => {
window.postMessage(
{ type: "FROM_PAGE", text: "Hello from the webpage!" },
"*"
)
},
false
)

A secure Post Message communication should check the authenticity of the received message, this can be done checking:

• event.isTrusted: これは、イベントがユーザーのアクションによってトリガーされた場合にのみ True になります
• Content Script はユーザーの操作があった場合にのみメッセージを受け取るようにするべきです
• origin domain: メッセージを受け入れるドメインを allowlist のみに制限するべきです
• If a regex is used, be very careful
• Source: received_message.source !== window は、メッセージが Content Script がリッスンしている同じウィンドウ からのものかどうかを確認するために使用できます

The previous checks, even if performed, could be vulnerable, so check in the following page potential Post Message bypasses:

PostMessage Vulnerabilities

Iframe

Another possible way of communication might be through Iframe URLs, you can find an example in:

BrowExt - XSS Example

DOM

This isn’t “exactly” a communication way, but the web and the content script will have access to the web DOM. So, if the content script is reading some information from it, trusting the web DOM, the web could modify this data (because the web shouldn’t be trusted, or because the web is vulnerable to XSS) and compromise the Content Script.

You can also find an example of a DOM based XSS to compromise a browser extension in:

BrowExt - XSS Example

Content Script ↔︎ Background Script Communication

A Content Script can use the functions runtime.sendMessage() or tabs.sendMessage() to send a one-time JSON-serializable message.

To handle the response, use the returned Promise. Although, for backward compatibility, you can still pass a callback as the last argument.

Sending a request from a content script looks like this:

;(async () => {
const response = await chrome.runtime.sendMessage({ greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

extension（通常はbackground script）からリクエストを送信する。選択したタブのcontent scriptにメッセージを送る例：

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
;(async () => {
const [tab] = await chrome.tabs.query({
active: true,
lastFocusedWindow: true,
})
const response = await chrome.tabs.sendMessage(tab.id, { greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

受信側では、メッセージを処理するためにruntime.onMessageのevent listenerを設定する必要があります。これは content script または extension page からでも同じように見えます。

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(function (request, sender, sendResponse) {
console.log(
sender.tab
? "from a content script:" + sender.tab.url
: "from the extension"
)
if (request.greeting === "hello") sendResponse({ farewell: "goodbye" })
})

例で強調されているように、sendResponse() は同期的に実行されました。onMessage イベントハンドラを sendResponse() の非同期実行に対応させるには、return true; を必ず含める必要があります。

重要な点として、複数のページが onMessage イベントを受信するよう設定されている場合、特定のイベントに対して 最初に sendResponse() を実行したページ のみが有効にレスポンスを返すことができます。同じイベントに対するそれ以降のレスポンスは考慮されません。

新しい拡張機能を作成する際は、callbacks よりも promises を優先するべきです。callbacks を使う場合、sendResponse() は同期コンテキスト内で直接実行されるか、イベントハンドラが return true; で非同期処理を示している場合にのみ有効と見なされます。もしどのハンドラも return true; を返さないか、sendResponse() がメモリから解放（garbage-collected）されると、sendMessage() に紐づく callback がデフォルトで呼ばれます。

Native Messaging

ブラウザ拡張は、stdin 経由でシステム内のバイナリと通信することも可能です。アプリケーションはその旨を示す json をインストールする必要があり、例えば次のような json です:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

name は、browser extension の background scripts からアプリケーションと通信するために runtime.connectNative() または runtime.sendNativeMessage() に渡される文字列です。path はバイナリへのパスで、type は有効な値が 1 つだけで stdio（stdin と stdout を使用）です。allowed_origins はアクセスできる拡張機能を示し（ワイルドカードは使用できません）。

Chrome/Chromium はこの json を Windows のレジストリや macOS と Linux のいくつかのパスで検索します（詳細は docs を参照）。

Tip

ブラウザ拡張は、この通信を使用できるように nativeMessaing permission を宣言する必要もあります。

以下は、バックグラウンドスクリプトがネイティブアプリケーションにメッセージを送信するコードの例です：

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

In this blog post, a vulnerable pattern abusing native messages is proposed:

1. ブラウザ拡張機能がcontent scriptに対してワイルドカードパターンを持つ。
2. Content scriptはsendMessageを使ってpostMessageメッセージをbackground scriptに渡す。
3. Background scriptはsendNativeMessageを使ってメッセージをネイティブアプリケーションに渡す。
4. ネイティブアプリケーションがメッセージを危険に処理し、コード実行に至る。

そしてその中で、任意のページからブラウザ拡張機能を悪用してRCEに至る例が説明されています。

メモリ/コード/クリップボード内の機密情報

ブラウザ拡張機能がメモリ内に機密情報を保存する場合、特にWindowsマシンではこれがダンプされ、その情報を検索される可能性があります。

したがって、ブラウザ拡張機能のメモリは安全とは見なされるべきではなく、資格情報やニーモニックフレーズなどの機密情報は保存されるべきではありません。

もちろん、コードに機密情報を入れないでください。コードは公開される可能性があります。

ブラウザからメモリをダンプするには、プロセスメモリをダンプするか、ブラウザ拡張機能の設定に移動して**Inspect pop-up**をクリックし -> **Memoryセクションで -> Take a snaphost を実行し、CTRL+F**でスナップショット内を検索して機密情報を探します。

さらに、ニーモニックキーやパスワードのような高度に機密性の高い情報はクリップボードにコピーできないようにすべき（少なくとも数秒後にクリップボードから削除する）べきです。なぜならクリップボードを監視するプロセスがそれらを取得できるからです。

ブラウザで拡張機能を読み込む方法

1. ブラウザ拡張機能をダウンロードして解凍する
2. chrome://extensions/に移動し、Developer Modeを有効化する
3. **Load unpacked**ボタンをクリックする

Firefoxでは**about:debugging#/runtime/this-firefoxにアクセスし、Load Temporary Add-on**ボタンをクリックします。

ストアからソースコードを取得する

Chrome拡張機能のソースコードは様々な方法で取得できます。以下に各オプションの詳細な説明と手順を示します。

コマンドラインで拡張機能をZIPとしてダウンロードする

Chrome拡張機能のソースコードはコマンドラインを使ってZIPファイルとしてダウンロードできます。これは、特定のURLからZIPファイルを取得するためにcurlを使用し、そのZIPファイルの内容をディレクトリに展開することを伴います。手順は次のとおりです：

1. "extension_id"を実際の拡張機能のIDに置き換える。
2. 以下のコマンドを実行する：

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

Use the CRX Viewer website

https://robwu.nl/crxviewer/

Use the CRX Viewer extension

もうひとつ便利な方法は、Chrome Extension Source Viewer を使用することです。これはオープンソースプロジェクトで、Chrome Web Store からインストールできます。ビューアのソースコードはその GitHub repository で入手できます。

View source of locally installed extension

ローカルにインストールされた Chrome extension も調査できます。手順は次のとおりです:

1. chrome://version/ にアクセスして、“Profile Path” フィールドを確認し、Chrome のローカルプロファイルディレクトリにアクセスします。
2. プロファイルディレクトリ内の Extensions/ サブフォルダに移動します。
3. このフォルダにはインストール済みの拡張機能がすべて含まれており、通常ソースコードが読みやすい形式で保存されています。

拡張機能を特定するには、ID と名前を対応させます:

• about:extensions ページで Developer Mode を有効にすると、各拡張の ID が表示されます。
• 各拡張のフォルダ内にある manifest.json ファイルには読みやすい name フィールドがあり、拡張機能の特定に役立ちます。

Use a File Archiver or Unpacker

Chrome Web Store から拡張機能をダウンロードします。ファイルは .crx 拡張子になっています。ファイル拡張子を .crx から .zip に変更し、WinRAR や 7-Zip などの任意のファイルアーカイバで ZIP の内容を展開します。

Use Developer Mode in Chrome

Chrome を開き、chrome://extensions/ に移動します。右上で “Developer mode” を有効にします。“Load unpacked extension…” をクリックし、拡張機能のディレクトリを指定します。これはソースコードをダウンロードするわけではありませんが、既にダウンロード済みまたは開発中の拡張のコードを表示・修正するのに便利です。

Chrome extension manifest dataset

脆弱なブラウザ拡張を見つけるために、https://github.com/palant/chrome-extension-manifests-dataset を使い、manifest ファイルに潜在的な脆弱性の兆候がないか確認できます。たとえば、25000 以上のユーザー、content_scripts、および permission nativeMessaing を持つ拡張をチェックするには:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Post-exploitation: Forced extension load & persistence (Windows)

各ユーザーの Preferences を直接編集し有効な HMACs を偽造することで Chromium にバックドアを仕込み、プロンプトやフラグなしに任意の unpacked extension をブラウザが受け入れて有効化するステルス手法。

Forced Extension Load Preferences Mac Forgery Windows

Detecting Malicious Extension Updates (Static Version Diffing)

Supply-chain の妥協はしばしば以前は無害だった拡張機能への malicious updates として到来します。実用的でノイズの少ないアプローチは、静的解析（例えば、Assemblyline）を使って 新しい拡張パッケージを最後に知られている良好なバージョンと比較する ことです。目的はあらゆる変更ではなく、高信頼度の差分（high-signal deltas）を検出することです。

Workflow

• 両方のバージョン（古い方 + 新しい方）を同じ静的解析プロファイルに提出する。
• 新規または更新された background/service worker スクリプト をフラグ（永続化や特権ロジック）。
• 新規または更新された content scripts をフラグ（DOMアクセスやデータ収集）。
• manifest.json に追加された 新しい permissions/host_permissions をフラグ。
• コードから抽出された 新しいドメイン をフラグ（潜在的な C2 / exfil エンドポイント）。
• 静的解析の新規検出（例: base64 decode、cookie harvesting、network-request builders、難読化パターン）をフラグ。
• 変更されたスクリプトにおけるエントロピーの急上昇や外れ値 z-score といった 統計的異常 をフラグ。

Detecting script changes accurately

• 新しいスクリプトが追加された → manifest.json の diff で検出。
• 既存のスクリプトが修正された（manifest は変わらない）→ 抽出されたファイルツリーからの ファイルごとのハッシュ を比較（例: Assemblyline の Extract 出力）。これにより既存の worker や content script に対するステルスな更新を捕捉できる。

Pre-disclosure detections

既知の IOC に基づく「簡単な検出」を避けるため、threat-intel-fed サービスを無効にし、ドメインやヒューリスティックなシグネチャ、スクリプト差分、エントロピー異常などの内在的シグナルに依存してください。これにより、公開報告前に悪意あるアップデートを発見する可能性が高まります。

Example high-confidence alert logic

• Low-noise コンボ: 新規ドメイン + 新規静的解析検出 + 更新された background/service worker + 更新または追加された content scripts。
• より広い捕捉: 新規ドメイン + 新規または更新された background/service worker（再現率は高いがノイズも増える）。

このワークフローで有用な Assemblyline サービス:

• Extract: 拡張機能を展開しファイルごとのハッシュを生成する。
• Characterize: ファイルの特性（例: エントロピー）を算出する。
• JsJAWS / FrankenStrings / URLCreator: JS のヒューリスティクス、文字列、ドメインを抽出し、バージョン間で差分を取るのに役立てる。

Security Audit Checklist

Browser Extensions は攻撃面が限定されているものの、いくつかは 脆弱性 を含んでいたり ハードニングの改善余地 があるかもしれません。以下は最も一般的な項目です:

• permissions を可能な限り制限する
• host_permissions を可能な限り制限する
• 強力な content_security_policy を使用する
• externally_connectable は可能な限り制限する。不要であればデフォルトで残さず、明示的に {} を指定する。
• ここで URL が XSS や takeover に対して脆弱 だと記載されている場合、攻撃者は background scripts に直接メッセージを送れる 可能性がある。非常に強力なバイパス。
• web_accessible_resources は可能な限り制限する。可能なら空にする。
• web_accessible_resources が空でない場合、ClickJacking を確認する。
• 拡張機能からウェブページへ何らかの communication が行われている場合、その通信経路で引き起こされる XSS 脆弱性を 確認する。
• Post Messages を使用している場合は、Post Message vulnerabilities を確認する。
• Content Script が DOM にアクセスする場合、それがウェブによって 変更された際に XSS を導入しないか を確認する。
• この通信が Content Script -> Background script の通信 にも関与している場合は特に注意を払う。
• background script が native messaging 経由で通信している場合、その通信が安全でサニタイズされているかを確認する。
• 機密情報を拡張機能のコード内に保存してはならない。
• 機密情報を拡張機能のメモリ内に保存してはならない。
• 機密情報を保護されていないファイルシステム上に保存してはならない。

Browser Extension Risks

• アプリ https://crxaminer.tech/ は拡張機能が要求する permissions などのデータを解析し、その拡張機能の利用リスクレベルを示します。

Tools

Tarnish

• 指定した Chrome webstore のリンクから任意の Chrome extension を取得する。
• manifest.json ビューア: 拡張機能の manifest を JSON 整形して表示する。
• Fingerprint Analysis: web_accessible_resources の検出と Chrome extension fingerprinting 用の自動生成 JavaScript。
• Potential Clickjacking Analysis: web_accessible_resources 指令が設定された拡張機能の HTML ページを検出。ページの目的に応じて clickjacking に対して脆弱である可能性がある。
• Permission Warning(s) viewer: ユーザーが拡張機能をインストールしようとしたときに表示される Chrome の権限プロンプト警告の一覧を表示する。
• Dangerous Function(s): innerHTML や chrome.tabs.executeScript のような、攻撃者に悪用されうる危険な関数の位置を表示する。
• Entry Point(s): 拡張機能がユーザー/外部入力を受け取る箇所を示す。拡張機能の攻撃面を理解し、悪意あるデータを送るポイントを探すのに有用。
• Dangerous Function(s) と Entry Point(s) スキャナは生成されたアラートについて以下を提供:
  • アラートの原因となった関連コードスニペットと行番号。
  • 問題の説明。
  • 該当ソースファイルを表示する “View File” ボタン。
  • アラート対象ファイルのパス。
  • アラート対象ファイルの完全な Chrome extension URI。
  • そのファイルの種類（Background Page script、Content Script、Browser Action 等）。
  • もし脆弱な行が JavaScript ファイル内にある場合、そのファイルが含まれている全ページのパスとそれらページの種類、および web_accessible_resource の状態。
• Content Security Policy (CSP) analyzer and bypass checker: 拡張機能の CSP の弱点を指摘し、ホワイトリストにある CDN 等による CSP バイパスの可能性も明示する。
• Known Vulnerable Libraries: Retire.js を使って既知の脆弱ライブラリの使用をチェックする。
• 拡張機能のダウンロードと整形済みバージョンのダウンロード。
• 元の拡張機能のダウンロード。
• 美化（beautified）された拡張機能のダウンロード（自動整形された HTML と JavaScript）。
• スキャン結果の自動キャッシュ：初回は時間がかかるが、拡張機能が更新されていなければ2回目以降はほぼ即時になる。
• Tarnish によって生成されたレポートのリンク可能な URL を提供。

Neto

Project Neto は Python 3 パッケージで、Firefox や Chrome といった一般的なブラウザ用のプラグインや拡張機能の隠れた機能を解析・抽出することを目的としている。manifest.json、ローカリゼーションフォルダ、Javascript や HTML ソースファイルなど、拡張機能内の関連リソースからこれらの機能を抽出するために、パッケージファイルの解凍プロセスを自動化する。

References

• Thanks to @naivenom for the help with this methodology
• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing
• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/
• https://palant.info/2022/08/24/attack-surface-of-extension-pages/
• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/
• https://help.passbolt.com/assets/files/PBL-02-report.pdf
• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts
• https://developer.chrome.com/docs/extensions/mv2/background-pages
• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/
• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0
• https://redcanary.com/blog/threat-detection/assemblyline-browser-extensions/

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。