// Listen for messages from the web page window.addEventListener( “message”, (event) => { // Only accept messages from the same window if (event.source !== window) { return }

// Check if the message type is “FROM_PAGE” if (event.data.type && event.data.type === “FROM_PAGE”) { console.log(“Content script received: “ + event.data.text) // Forward the message to the background script port.postMessage({ type: “FROM_PAGE”, text: event.data.text }) } }, false )

// Listen for messages from the background script port.onMessage.addListener(function (msg) { console.log(“Content script received message from background script:”, msg) // Handle the response message from the background script })

</details>

Ayrıca, belirli bir sekmede bulunan content script'e background script'ten **`chrome.tabs.sendMessage`** çağırarak mesaj göndermek de mümkündür; bu çağrıda mesajın gönderileceği sekmenin **ID**'sini belirtmeniz gerekir.

### İzin verilen `externally_connectable` kaynaklardan uzantıya

**`externally_connectable` yapılandırmasında izin verilen Web uygulamaları ve harici tarayıcı uzantıları**, istekleri şu şekilde gönderebilir:
```javascript
chrome.runtime.sendMessage(extensionId, ...

Gerekli olduğunda extension ID’yi belirtin.

Native Messaging

Background scripts’in sistem içindeki binaries ile iletişim kurması mümkündür; bu iletişim doğru şekilde güvence altına alınmazsa RCEs gibi kritik zafiyetlere açık olabilir. More on this later.

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

Web ↔︎ Content Script Communication

content scripts’in çalıştığı ortamlar ile host sayfaların bulunduğu ortamlar birbirinden ayrılmıştır, bu da izolasyon sağlar. Bu izolasyona rağmen her ikisi de sayfanın ortak bir kaynağı olan Document Object Model (DOM) ile etkileşime girebilir. Host sayfanın content script ile veya dolaylı olarak content script aracılığıyla extension ile iletişim kurabilmesi için, her iki tarafın erişebildiği bir iletişim kanalı olarak DOM’u kullanması gerekir.

Post Messages

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect()

window.addEventListener(
"message",
(event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return
}

if (event.data.type && event.data.type === "FROM_PAGE") {
console.log("Content script received: " + event.data.text)
// Forward the message to the background script
port.postMessage(event.data.text)
}
},
false
)

document.getElementById("theButton").addEventListener(
"click",
() => {
window.postMessage(
{ type: "FROM_PAGE", text: "Hello from the webpage!" },
"*"
)
},
false
)

Güvenli bir Post Message iletişimi, alınan mesajın doğruluğunu kontrol etmelidir; bu şu şekilde yapılabilir:

• event.isTrusted: Bu, yalnızca event bir kullanıcı eylemiyle tetiklendiğinde True olur
• content script yalnızca kullanıcı bir eylem gerçekleştirdiğinde mesaj bekliyor olabilir
• origin domain: mesajı yalnızca allowlist’teki domainlerden bekliyor olabilir.
• Bir regex kullanılıyorsa çok dikkatli olun
• Source: received_message.source !== window ifadesi, mesajın Content Script’in dinlediği aynı pencereden olup olmadığını kontrol etmek için kullanılabilir.

Yukarıdaki kontroller yapılsa bile zayıf olabilir; bu yüzden aşağıdaki sayfada potansiyel Post Message bypass’larını kontrol edin:

PostMessage Vulnerabilities

Iframe

Başka bir olası iletişim yolu Iframe URLs aracılığı olabilir; bir örneğini şurada bulabilirsiniz:

BrowExt - XSS Example

DOM

Bu tam olarak bir iletişim yolu değil, ancak web ile content script web DOM’una erişebilir. Yani, content script buradan bazı bilgileri okuyor ve web DOM’a güveniyorsa, web bu veriyi değiştirebilir (çünkü web’e güvenilmemeli veya web XSS’e karşı savunmasız olabilir) ve Content Script’i tehlikeye atabilir.

Ayrıca bir DOM tabanlı XSS ile browser extension’ı ele geçirme örneğini şurada bulabilirsiniz:

BrowExt - XSS Example

Content Script ↔︎ Background Script İletişimi

Bir Content Script, tek seferlik JSON-serializable bir mesaj göndermek için runtime.sendMessage() veya tabs.sendMessage() fonksiyonlarını kullanabilir.

Yanıtı (response) işlemek için dönen Promise kullanın. Ancak geriye dönük uyumluluk için hâlâ son argüman olarak bir callback geçebilirsiniz.

content script’ten istek göndermek şu şekilde görünür:

;(async () => {
const response = await chrome.runtime.sendMessage({ greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

İsteği extension’dan (genellikle bir background script) gönderme. Seçilmiş tab’daki content script’e mesaj gönderme örneği:

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
;(async () => {
const [tab] = await chrome.tabs.query({
active: true,
lastFocusedWindow: true,
})
const response = await chrome.tabs.sendMessage(tab.id, { greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

Alıcı tarafta, mesajı işlemek için bir runtime.onMessage event listener ayarlamanız gerekir. Bu, bir content script veya extension page’ten bakıldığında aynı görünür.

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(function (request, sender, sendResponse) {
console.log(
sender.tab
? "from a content script:" + sender.tab.url
: "from the extension"
)
if (request.greeting === "hello") sendResponse({ farewell: "goodbye" })
})

Vurgulanan örnekte, sendResponse() eşzamanlı olarak çalıştırıldı. onMessage olay işleyicisini sendResponse()’un asenkron çalışması için değiştirmek istiyorsanız, return true; eklemeniz gerekir.

Önemli bir husus, birden fazla sayfanın onMessage olaylarını almaya ayarlandığı senaryolarda, belirli bir olay için sendResponse()’yi ilk çalıştıran sayfanın yanıtı etkin şekilde iletebilen tek sayfa olacağıdır. Aynı olaya yapılacak sonraki yanıtlar dikkate alınmaz.

Yeni uzantılar oluştururken tercih callback’ler yerine promise’lar olmalıdır. Callback kullanımı söz konusu olduğunda, sendResponse() fonksiyonu yalnızca eşzamanlı bağlam içinde doğrudan çalıştırılırsa veya olay işleyicisi true döndürerek asenkron bir işlem olduğunu belirtirse geçerli sayılır. Hiçbir işleyici true döndürmezse veya sendResponse() fonksiyonu bellekten kaldırılırsa (garbage-collected), varsayılan olarak sendMessage() ile ilişkili callback tetiklenir.

Native Messaging

Tarayıcı uzantıları ayrıca sistemdeki ikili uygulamalarla stdin üzerinden iletişim kurmaya izin verir. Uygulama, bunun belirtildiği bir json yüklemeli; örneğin şu şekilde bir json:

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

Where the name is the string passed to runtime.connectNative() or runtime.sendNativeMessage() to communicate with the application from the background scripts of the browser extension. The path is the path to the binary, there is only 1 valid type which is stdio (use stdin and stdout) and the allowed_origins indicate the extensions that can access it (and can’t have wildcard).

Chrome/Chromium will search for this json in some windows registry and some paths in macOS and Linux (more info in the docs).

Tip

The browser extension also needs the nativeMessaing permission declared in order to be able to use this communication.

This is how it looks like some background script code sending messages to a native application:

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

In this blog post, native messages’i kötüye kullanan bir zayıf desen öneriliyor:

1. Tarayıcı eklentisi, content script için bir wildcard deseni kullanıyor.
2. Content script, arka plan script’ine postMessage mesajlarını sendMessage ile iletiyor.
3. Arka plan script’i mesajı native uygulamaya sendNativeMessage ile geçiriyor.
4. Native uygulama mesajı tehlikeli şekilde işliyor ve kod yürütülmesine yol açıyor.

Ve içinde, herhangi bir sayfadan bir browser extension’ı kötüye kullanarak RCE’ye gitme örneği açıklanıyor.

Sensitive Information in Memory/Code/Clipboard

Eğer bir Tarayıcı Eklentisi hassas bilgiyi belleğinde tutuyorsa, bu bilgi dumped (özellikle Windows makinelerinde) edilebilir ve bu bilgi için aranabilir.

Bu nedenle, Tarayıcı Eklentisi belleği güvenli kabul edilmemeli ve kimlik bilgileri veya mnemonic ifadeler gibi hassas bilgiler saklanmamalıdır.

Tabii ki, hassas bilgileri koda koymayın, çünkü kod public olacaktır.

Tarayıcıdan belleği dump etmek için process memory’i dump edebilir veya tarayıcı eklentisinin ayarlarına gidip Inspect pop-up -> Memory bölümünde -> Take a snaphost ve CTRL+F ile snapshot içinde hassas bilgileri arayabilirsiniz.

Ayrıca, mnemonic anahtarlar veya parolalar gibi çok hassas bilgilerin panoya kopyalanmasına izin verilmemeli (veya en azından birkaç saniye içinde panodan silinmeli), çünkü panoyu izleyen prosesler bu bilgilere erişebilir.

Loading an Extension in the Browser

1. Download the Browser Extension & unzipped
2. Go to chrome://extensions/ and enable the Developer Mode
3. Click the Load unpacked button

In Firefox you go to about:debugging#/runtime/this-firefox and click Load Temporary Add-on button.

Getting the source code from the store

The source code of a Chrome extension can be obtained through various methods. Below are detailed explanations and instructions for each option.

Download Extension as ZIP via Command Line

The source code of a Chrome extension can be downloaded as a ZIP file using the command line. This involves using curl to fetch the ZIP file from a specific URL and then extracting the contents of the ZIP file to a directory. Here are the steps:

1. Replace “extension_id” with the actual ID of the extension.
2. Execute the following commands:

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

CRX Viewer web sitesini kullanın

https://robwu.nl/crxviewer/

CRX Viewer eklentisini kullanın

Başka kullanışlı bir yöntem, açık kaynaklı bir proje olan Chrome Extension Source Viewer’ı kullanmaktır. Chrome Web Store üzerinden kurulabilir. Viewer’ın kaynak kodu GitHub repository’de mevcuttur.

Yerel olarak yüklü eklentinin kaynak kodunu görüntüleme

Yerel olarak yüklenmiş Chrome eklentileri de incelenebilir. İşte nasıl:

1. chrome://version/ adresini ziyaret ederek Chrome yerel profil dizinine erişin ve “Profile Path” alanını bulun.
2. Profil dizini içinde Extensions/ alt klasörüne gidin.
3. Bu klasör, genellikle kaynak kodları okunabilir formatta olmak üzere, yüklü tüm eklentileri içerir.

Eklentileri tanımlamak için ID’lerini isimlerle eşleyebilirsiniz:

• about:extensions sayfasında Developer Mode’u etkinleştirerek her eklentinin ID’sini görün.
• Her eklenti klasörünün içinde, manifest.json dosyası okunabilir bir name alanı içerir; bu, eklentiyi tanımlamaya yardımcı olur.

Bir Dosya Arşivleyici veya Unpacker kullanın

Chrome Web Store’a gidip eklentiyi indirin. Dosya .crx uzantılı olacaktır. Dosya uzantısını .crx’den .zip’e değiştirin. ZIP dosyasının içeriğini çıkarmak için herhangi bir dosya arşivleyici (ör. WinRAR, 7-Zip, vb.) kullanın.

Chrome’da Developer Mode’u kullanın

Chrome’u açın ve chrome://extensions/ adresine gidin. Sağ üstte “Developer mode“u etkinleştirin. “Load unpacked extension…”’e tıklayın. Eklentinizin dizinine gidin. Bu işlem kaynak kodunu indirmez, ancak zaten indirilmiş veya geliştirilmiş bir eklentinin kodunu görüntülemek ve değiştirmek için kullanışlıdır.

Chrome eklenti manifest veri seti

Zayıf tarayıcı eklentilerini tespit etmeye çalışmak için https://github.com/palant/chrome-extension-manifests-dataset kullanabilir ve manifest dosyalarını potansiyel olarak zayıf işaretler için kontrol edebilirsiniz. Örneğin 25000’den fazla kullanıcısı olan, content_scripts içeren ve nativeMessaing iznine sahip eklentileri kontrol etmek için:

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Post-exploitation: Forced extension load & persistence (Windows)

Chromium’u, her-kullanıcı için Preferences’ı doğrudan düzenleyip geçerli HMACs sahteleyerek arka kapı ile ele geçirmeye yarayan gizli bir teknik; bu, tarayıcının herhangi bir uyarı veya bayrak göstermeden rastgele bir unpacked extension’ı kabul edip etkinleştirmesine neden olur.

Forced Extension Load Preferences Mac Forgery Windows

Detecting Malicious Extension Updates (Static Version Diffing)

Supply-chain kompromizasyonları sıklıkla daha önce zararsız olan uzantılara yapılan malicious updates olarak gelir. Pratik ve düşük-gürültülü bir yaklaşım, yeni extension paketini son known-good sürümle static analysis kullanarak karşılaştırmakdır (örneğin, Assemblyline). Amaç her değişiklik yerine yüksek-sinyalli farkları yakalamaktır.

Workflow

• Her iki sürümü de gönderin (eski + yeni) aynı static-analysis profiline.
• Yeni veya güncellenmiş background/service worker scripts için işaretle (persistence + privileged logic).
• Yeni veya güncellenmiş content scripts için işaretle (DOM erişimi ve veri toplama).
• manifest.json içinde eklenen yeni permissions/host_permissions için işaretle.
• Koddaki yeni domain’leri çıkarıp işaretle (potansiyel C2/exfil endpoint’leri).
• Yeni static-analysis tespitleri için işaretle (ör. base64 decode, cookie harvesting, network-request builders, obfuscation patterns).
• Değişen script’lerde ani entropy sıçramaları veya aykırı z-skorları gibi istatistiksel anomali’leri işaretle.

Detecting script changes accurately

• Yeni script eklendi → manifest.json diff’i ile tespit et.
• Mevcut script değiştirildi (manifest değişmedi) → çıkarılmış dosya ağacından dosya başına hash’leri karşılaştır (ör. Assemblyline Extract çıktısı). Bu, mevcut worker veya content script’lere yapılan gizli güncellemeleri yakalar.

Pre-disclosure detections

Zaten bilinen IOC’lere dayanan “kolay mod” tespitlerinden kaçınmak için threat-intel-fed servisleri devre dışı bırakın ve alan adları, heuristic signature’lar, script farkları, entropy anomalileri gibi içsel sinyallere güvenin. Bu, zararlı güncellemeleri kamuya rapor edilmeden önce yakalama şansını artırır.

Example high-confidence alert logic

• Low-noise combo: yeni domain’ler + yeni static-analysis tespitleri + güncellenmiş background/service worker + güncellenmiş veya eklenmiş content scripts.
• Broader catch: yeni domain + yeni veya güncellenmiş background/service worker (daha yüksek recall, daha yüksek gürültü).

Bu workflow için önemli Assemblyline servisleri:

• Extract: uzantıyı açar ve dosya başına hash’leri verir.
• Characterize: dosya özelliklerini hesaplar (ör. entropy).
• JsJAWS / FrankenStrings / URLCreator: JS heuristiklerini, string’leri ve domain’leri yüzeye çıkarır; sürümler arasındaki farkları karşılaştırmak için kullanılır.

Security Audit Checklist

Tarayıcı Uzantılarının sınırlı bir saldırı yüzeyi olmasına rağmen, bazıları vulnerabilities veya güçlendirme (hardening) iyileştirmeleri içerebilir. Aşağıdakiler en yaygın olanlardır:

• Limit mümkün olduğunca istenen permissions
• Limit mümkün olduğunca host_permissions
• Güçlü bir content_security_policy kullan
• Limit mümkün olduğunca externally_connectable; gerek yoksa varsayılan bırakma, {} belirt
• Eğer burada XSS veya takeover’a açık bir URL bahsediliyorsa, bir attacker doğrudan background script’lere message gönderebilecek. Çok güçlü bir bypass.
• Limit mümkün olduğunca web_accessible_resources, mümkünse boş bırak
• Eğer web_accessible_resources none değilse, ClickJacking için kontrol et
• Eğer extension ve web page arasında herhangi bir communication oluyorsa, iletişimde oluşan XSS vulnerabilities için kontrol et
• Eğer Post Messages kullanılıyorsa, Post Message vulnerabilities** için kontrol et.**
• Eğer Content Script DOM erişiyorsa, web tarafından değiştirildiğinde XSS oluşturmamasını kontrol et
• Bu iletişim Content Script -> Background script iletişimini de içeriyorsa özel vurgu yap
• Eğer background script native messaging ile iletişim kuruyorsa, iletişimin güvenli ve sanitize edildiğini kontrol et
• Duyarlı bilgiler Browser Extension kodu içinde depolanmamalı
• Duyarlı bilgiler Browser Extension belleğinde saklanmamalı
• Duyarlı bilgiler korunmasız şekilde dosya sisteminde saklanmamalı

Browser Extension Risks

• Uygulama https://crxaminer.tech/ uzantının istediği permissions gibi bazı verileri analiz ederek uzantıyı kullanmanın risk seviyesini verir.

Tools

Tarnish

• Verilen Chrome webstore linkinden herhangi bir Chrome extension’ı çeker.
• manifest.json viewer: uzantının manifest’inin JSON-prettified sürümünü gösterir.
• Fingerprint Analysis: web_accessible_resources tespiti ve otomatik Chrome extension fingerprinting JavaScript üretimi.
• Potential Clickjacking Analysis: web_accessible_resources direktifi set edilmiş extension HTML sayfalarını tespit eder. Bu sayfalar amaçlarına bağlı olarak clickjacking’e açık olabilir.
• Permission Warning(s) viewer: kullanıcı uzantıyı kurmaya çalıştığında gösterilecek Chrome permission uyarılarının listesini gösterir.
• Dangerous Function(s): innerHTML, chrome.tabs.executeScript gibi potansiyel olarak bir attacker tarafından istismar edilebilecek tehlikeli fonksiyonların yerini gösterir.
• Entry Point(s): uzantının kullanıcı/dış giriş aldığı yerleri gösterir. Bu, uzantının yüzey alanını anlamak ve kötü amaçlı hazırlanmış verileri uzantıya göndermek için potansiyel noktaları bulmak açısından faydalıdır.
• Dangerous Function(s) ve Entry Point(s) tarayıcılarının ürettiği uyarılarda aşağıdakiler bulunur:
  • Uyarıya neden olan ilgili kod snippet’i ve satır
  • Sorunun açıklaması
  • Kaynağı içeren dosyayı görüntülemek için “View File” butonu
  • Uyarılı dosyanın yolu
  • Uyarılı dosyanın tam Chrome extension URI’si
  • Dosyanın türü (Background Page script, Content Script, Browser Action, vb.)
  • Eğer zayıf satır bir JavaScript dosyasında ise, dahil edildiği tüm sayfaların yolları ve bu sayfaların türleri ile web_accessible_resource durumu.
• Content Security Policy (CSP) analyzer and bypass checker: Uzantının CSP’sindeki zayıflıkları gösterir ve beyaz listeye alınmış CDN’ler gibi CSP’yi bypass etme yollarını aydınlatır.
• Known Vulnerable Libraries: Bilinen-zayıf JavaScript kütüphane kullanımlarını kontrol etmek için Retire.js kullanır.
• Uzantıyı indir ve formatlanmış versiyonlarını indir.
• Orijinal uzantıyı indir.
• Beautified (otomatik prettified HTML ve JavaScript) sürümünü indir.
• Tarama sonuçlarını otomatik önbelleğe alır; aynı uzantı için ikinci tarama neredeyse anında dönebilir.
• Tarnish tarafından oluşturulan extension raporlarına link verilebilir.

Neto

Neto projesi, Firefox ve Chrome gibi bilinen tarayıcılar için browser plugin ve extension’ların gizli özelliklerini analiz edip ortaya çıkarmak üzere tasarlanmış bir Python 3 paketidir. Paketlenmiş dosyaların unzip edilmesini otomatikleştirir ve manifest.json, localization klasörleri veya Javascript ve HTML kaynak dosyaları gibi ilgili kaynaklardan bu özellikleri çıkartır.

References

• Thanks to @naivenom for the help with this methodology
• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing
• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/
• https://palant.info/2022/08/24/attack-surface-of-extension-pages/
• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/
• https://help.passbolt.com/assets/files/PBL-02-report.pdf
• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts
• https://developer.chrome.com/docs/extensions/mv2/background-pages
• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/
• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0
• https://redcanary.com/blog/threat-detection/assemblyline-browser-extensions/

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.