// Listen for messages from the web page window.addEventListener( “message”, (event) => { // Only accept messages from the same window if (event.source !== window) { return }

// Check if the message type is “FROM_PAGE” if (event.data.type && event.data.type === “FROM_PAGE”) { console.log(“Content script received: “ + event.data.text) // Forward the message to the background script port.postMessage({ type: “FROM_PAGE”, text: event.data.text }) } }, false )

// Listen for messages from the background script port.onMessage.addListener(function (msg) { console.log(“Content script received message from background script:”, msg) // Handle the response message from the background script })

</details>

也可以从 background script 向位于特定 tab 的 content script 发送消息，调用 **`chrome.tabs.sendMessage`**，此时需要指定要发送消息的**tab ID**。

### 从 `externally_connectable` 允许的来源到扩展

**配置中 `externally_connectable` 允许的 Web apps 和外部浏览器扩展** 可以使用以下方式发送请求：
```javascript
chrome.runtime.sendMessage(extensionId, ...

在需要提到 extension ID 的地方。

Native Messaging

background scripts 可以与系统内的 binaries 通信，如果这种通信没有得到妥善保护，可能会导致严重漏洞（例如 RCEs）。 More on this later.

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

Web ↔︎ Content Script Communication

运行 content scripts 的环境与宿主页面所在的环境是相互隔离的，从而确保了孤立性。尽管存在这种隔离，双方都能与页面的 文档对象模型 (DOM) 交互——这是一个共享资源。为了让宿主页面与 content script 通信，或通过 content script 间接与扩展进行通信，必须使用双方都可访问的 DOM 作为通信通道。

Post Messages

// This is like "chrome.runtime.sendMessage" but to maintain the connection
var port = chrome.runtime.connect()

window.addEventListener(
"message",
(event) => {
// We only accept messages from ourselves
if (event.source !== window) {
return
}

if (event.data.type && event.data.type === "FROM_PAGE") {
console.log("Content script received: " + event.data.text)
// Forward the message to the background script
port.postMessage(event.data.text)
}
},
false
)

document.getElementById("theButton").addEventListener(
"click",
() => {
window.postMessage(
{ type: "FROM_PAGE", text: "Hello from the webpage!" },
"*"
)
},
false
)

一个安全的 Post Message 通信应当验证接收消息的真实性，可以通过检查：

• event.isTrusted: 只有当事件由用户动作触发时才为 True
• content script 可能只在用户执行某些操作时才期待消息
• origin domain: 可能只允许来自 allowlist 的域名。
• 如果使用正则表达式，请非常小心
• Source: received_message.source !== window 可用于检查消息是否来自 Content Script 正在监听的同一窗口。

即使进行了上述检查，也可能存在漏洞，请参阅下列页面中的 潜在的 Post Message 绕过方法：

PostMessage Vulnerabilities

Iframe

另一种可能的通信方式是通过 Iframe URLs，示例见：

BrowExt - XSS Example

DOM

这并不“完全”是通信方式，但 web 和 content script 都能访问 web DOM。因此，如果 content script 从中读取某些信息、并且 信任 web DOM，web 端可能会修改这些数据（因为 web 不应被信任，或 web 易受 XSS 攻击），从而 危及 Content Script。

你也可以在以下链接找到一个通过基于 DOM 的 XSS 来攻陷浏览器扩展的示例：

BrowExt - XSS Example

Content Script ↔︎ Background Script Communication

A Content Script can use the functions runtime.sendMessage() or tabs.sendMessage() to send a one-time JSON-serializable message.

处理 response 时，使用返回的 Promise。不过，为了向后兼容，你仍然可以把 callback 作为最后一个参数传入。

从 content script 发送请求看起来像这样：

;(async () => {
const response = await chrome.runtime.sendMessage({ greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

从 extension（通常是 background script）发送请求。下面示例演示如何向所选 tab 中的 content script 发送消息：

// From https://stackoverflow.com/questions/36153999/how-to-send-a-message-between-chrome-extension-popup-and-content-script
;(async () => {
const [tab] = await chrome.tabs.query({
active: true,
lastFocusedWindow: true,
})
const response = await chrome.tabs.sendMessage(tab.id, { greeting: "hello" })
// do something with response here, not outside the function
console.log(response)
})()

在 接收端，你需要设置一个 runtime.onMessage 事件监听器 来处理消息。在 content script 或 extension page 中，这看起来是相同的。

// From https://stackoverflow.com/questions/70406787/javascript-send-message-from-content-js-to-background-js
chrome.runtime.onMessage.addListener(function (request, sender, sendResponse) {
console.log(
sender.tab
? "from a content script:" + sender.tab.url
: "from the extension"
)
if (request.greeting === "hello") sendResponse({ farewell: "goodbye" })
})

In the example highlighted, sendResponse() was executed in a synchronous fashion. To modify the onMessage event handler for asynchronous execution of sendResponse(), it’s imperative to incorporate return true;.

在上例中，sendResponse() 是以同步方式执行的。若要将 onMessage 事件处理程序修改为异步执行 sendResponse()，必须加入 return true;。

An important consideration is that in scenarios where multiple pages are set to receive onMessage events, the first page to execute sendResponse() for a specific event will be the only one able to deliver the response effectively. Any subsequent responses to the same event will not be taken into account.

重要的一点是，如果有多个页面设置为接收 onMessage 事件，第一个为某个事件执行 sendResponse() 的页面 将是唯一能成功发送响应的页面。对同一事件的后续响应将被忽略。

When crafting new extensions, the preference should be towards promises as opposed to callbacks. Concerning the use of callbacks, the sendResponse() function is considered valid only if it’s executed directly within the synchronous context, or if the event handler indicates an asynchronous operation by returning true. Should none of the handlers return true or if the sendResponse() function is removed from memory (garbage-collected), the callback associated with the sendMessage() function will be triggered by default.

在开发新扩展时，应优先使用 promises 而非 callbacks。关于回调的使用，只有在 sendResponse() 在同步上下文中直接执行，或者事件处理程序通过返回 true 表明进行异步操作时，该 sendResponse() 函数才有效。如果没有任何处理程序返回 true，或 sendResponse() 被移出内存（被垃圾回收），与 sendMessage() 关联的回调将默认被触发。

Native Messaging

Browser extensions also allow to communicate with binaries in the system via stdin. The application must install a json indicating so in a json like:

浏览器扩展还允许与 binaries in the system via stdin 通信。应用必须安装一个 json 来表明这一点，格式如下：

{
"name": "com.my_company.my_application",
"description": "My Application",
"path": "C:\\Program Files\\My Application\\chrome_native_messaging_host.exe",
"type": "stdio",
"allowed_origins": ["chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"]
}

其中 name 是传递给 runtime.connectNative() 或 runtime.sendNativeMessage() 的字符串，用于从浏览器扩展的后台脚本与该应用通信。path 是二进制文件的路径，type 只有 1 个有效值，即 stdio（使用 stdin 和 stdout），allowed_origins 指示可以访问它的扩展（不能使用通配符）。

Chrome/Chromium 会在 Windows 注册表的某些位置以及 macOS 和 Linux 的某些路径中搜索该 json（更多信息见 docs）。

Tip

浏览器扩展还需要声明 nativeMessaing 权限，才能使用此通信。

下面是后台脚本向本地应用发送消息的示例代码：

chrome.runtime.sendNativeMessage(
"com.my_company.my_application",
{ text: "Hello" },
function (response) {
console.log("Received " + response)
}
)

In this blog post, a vulnerable pattern abusing native messages is proposed:

1. Browser extension has a wildcard pattern for content script.
2. Content script passes postMessage messages to the background script using sendMessage.
3. Background script passes the message to native application using sendNativeMessage.
4. Native application handles the message dangerously, leading to code execution.

And inside of it an example of going from any page to RCE abusing a browser extension is explained.

内存/代码/剪贴板中的敏感信息

如果浏览器扩展将敏感信息存储在其内存中，这些信息可能会被转储（尤其是在 Windows 机器上）并被搜索到。

因此，不应将浏览器扩展的内存视为安全，不应存储诸如凭据或助记词等敏感信息。

当然，不要把敏感信息放在代码中，因为代码会是公开的。

要从浏览器转储内存，你可以转储进程内存，或者在浏览器扩展的设置中点击 Inspect pop-up -> 在 Memory 部分 -> Take a snaphost 并使用 CTRL+F 在快照中搜索敏感信息。

此外，像助记词或密码这样高度敏感的信息不应被允许复制到剪贴板（或者至少在几秒后从剪贴板中移除），因为那样监控剪贴板的进程就能获取到它们。

在浏览器中加载扩展

1. Download the Browser Extension & unzipped
2. 转到 chrome://extensions/ 并 启用 Developer Mode
3. 点击 Load unpacked 按钮

在 Firefox 中，转到 about:debugging#/runtime/this-firefox 并点击 Load Temporary Add-on 按钮。

从商店获取源码

Chrome 扩展的源代码可以通过多种方法获得。下面对每种选项提供了详细的说明和步骤。

通过命令行将扩展下载为 ZIP

Chrome 扩展的源代码可以使用命令行下载为 ZIP 文件。这涉及使用 curl 从特定 URL 获取 ZIP 文件，然后将 ZIP 文件的内容解压到某个目录。步骤如下：

1. 将 “extension_id” 替换为扩展的实际 ID。
2. 执行以下命令：

extension_id=your_extension_id   # Replace with the actual extension ID
curl -L -o "$extension_id.zip" "https://clients2.google.com/service/update2/crx?response=redirect&os=mac&arch=x86-64&nacl_arch=x86-64&prod=chromecrx&prodchannel=stable&prodversion=44.0.2403.130&x=id%3D$extension_id%26uc"
unzip -d "$extension_id-source" "$extension_id.zip"

使用 CRX Viewer 网站

https://robwu.nl/crxviewer/

使用 CRX Viewer 扩展

另一种方便的方法是使用 Chrome Extension Source Viewer，这是一个开源项目。它可以从 Chrome Web Store 安装。查看器的源代码可在其 GitHub repository 获取。

查看本地已安装扩展的源代码

本地安装的 Chrome 扩展也可以被检查。方法如下：

1. 访问 chrome://version/ 并定位 “Profile Path” 字段以进入你的 Chrome 本地配置文件目录。
2. 在配置文件目录中导航到 Extensions/ 子文件夹。
3. 该文件夹包含所有已安装的扩展，通常以可读格式包含其源代码。

要识别扩展，你可以将它们的 ID 映射到名称：

• 在 about:extensions 页面启用 Developer Mode 以查看每个扩展的 ID。
• 在每个扩展的文件夹中，manifest.json 文件包含可读的 name 字段，可帮助你识别该扩展。

使用文件归档工具或解包器

前往 Chrome Web Store 并下载扩展。该文件将具有 .crx 扩展名。将文件扩展名从 .crx 更改为 .zip。使用任何文件归档工具（例如 WinRAR、7-Zip 等）解压该 ZIP 文件的内容。

在 Chrome 中使用开发者模式

打开 Chrome 并访问 chrome://extensions/。在右上角启用 “Developer mode”。点击 “Load unpacked extension…”。导航到你的扩展所在目录。此操作不会下载源代码，但对于查看和修改已下载或开发中的扩展代码非常有用。

Chrome extension manifest 数据集

为了尝试发现易受攻击的浏览器扩展，你可以使用该https://github.com/palant/chrome-extension-manifests-dataset 并检查它们的 manifest 文件以寻找潜在的漏洞迹象。例如，要检查具有超过 25000 名用户、包含 content_scripts 且具有权限 nativeMessaing 的扩展：

# Query example from https://spaceraccoon.dev/universal-code-execution-browser-extensions/
node query.js -f "metadata.user_count > 250000" "manifest.content_scripts?.length > 0 && manifest.permissions?.includes('nativeMessaging')"

Post-exploitation: Forced extension load & persistence (Windows)

一种隐蔽技术，通过直接编辑 per-user Preferences 并伪造有效的 HMACs 来后门化 Chromium，导致浏览器在无提示或标志的情况下接受并激活任意 unpacked extension。

Forced Extension Load Preferences Mac Forgery Windows

Detecting Malicious Extension Updates (Static Version Diffing)

Supply-chain 攻击常常以对先前无害扩展的 恶意更新 形式出现。一种实用且噪声低的方法是使用静态分析（例如 Assemblyline）将 新扩展包与最后一个已知良好版本进行比较。目标是对 高信噪比的差异 发出告警，而不是对任何变更都报警。

Workflow

• 提交两个版本（旧 + 新）到相同的静态分析配置。
• 标记新增或更新的 background/service worker 脚本（持久化 + 特权逻辑）。
• 标记新增或更新的 content scripts（DOM 访问与数据采集）。
• 标记 manifest.json 中新增的 permissions/host_permissions。
• 标记从代码中提取到的新域名（潜在的 C2/外泄端点）。
• 标记新的静态分析检测项（例如 base64 解码、cookie 收集、网络请求构建器、混淆模式）。
• 标记统计学异常，比如更改脚本中熵的急剧上升或异常 z-score。

Detecting script changes accurately

• 新增脚本 → 通过 manifest.json diff 检测。
• 已有脚本被修改（manifest 未变）→ 比较从解压出的文件树得到的 per-file hashes（例如 Assemblyline Extract 输出）。这样可以捕获对已有 worker 或 content script 的隐蔽更新。

Pre-disclosure detections

为了避免基于已知 IOC 的“简单模式”检测，禁用基于 threat-intel 的服务，转而依赖内在信号（域名、启发式签名、脚本差异、熵异常）。这可以提高在公开报告前发现恶意更新的概率。

Example high-confidence alert logic

• 低噪声组合： 新域名 + 新的静态分析检测 + 更新的 background/service worker + 更新或新增的 content scripts。
• 更广覆盖： 新域名 + 新增或更新的 background/service worker（召回更高，但噪声也更高）。

Key Assemblyline services for this workflow:

• Extract：解包扩展并生成每个文件的哈希。
• Characterize：计算文件特征（例如熵）。
• JsJAWS / FrankenStrings / URLCreator：提取 JS 启发式信息、字符串和域名以便版本间 diff。

Security Audit Checklist

尽管 Browser Extensions 的攻击面相对 有限，其中一些仍可能包含 漏洞 或 需要强化的点。以下是最常见的项：

• 尽可能限制请求的 permissions
• 尽可能限制 host_permissions
• 使用强健的 content_security_policy
• 尽可能限制 externally_connectable，如果不需要且可行，不要默认放开，指定为 {}
• 如果提到了对 XSS 或 takeover 易受攻击的 URL，攻击者将能够直接向 background scripts 发送消息。这是一个强力绕过手段。
• 尽可能限制 web_accessible_resources，如果可能，甚至置空。
• 如果 web_accessible_resources 非空，检查 ClickJacking
• 如果任何 communication 从 extension 到 web page 发生，检查通信中是否因交互而引入的 XSS 漏洞。
• 如果使用 Post Messages，检查 Post Message vulnerabilities。
• 如果 Content Script 访问 DOM 细节，检查当这些内容被 web 修改时是否引入 XSS。
• 特别关注如果该通信还涉及 Content Script -> Background script communication 的情况。
• 如果 background script 通过 native messaging 进行通信，检查通信是否安全并进行了清洗。
• 敏感信息不应被存储 在 Browser Extension 的 代码中
• 敏感信息不应被存储 在 Browser Extension 的 内存中
• 敏感信息不应被存储 在 未受保护的文件系统中

Browser Extension Risks

• 应用 https://crxaminer.tech/ 分析扩展请求的 permissions 等数据，以给出使用该扩展的风险等级。

Tools

Tarnish

• 从提供的 Chrome webstore 链接拉取任何 Chrome extension。
• manifest.json 查看器：以美化的 JSON 形式显示扩展的 manifest。
• Fingerprint Analysis：检测 web_accessible_resources 并自动生成 Chrome extension 指纹化 JavaScript。
• Potential Clickjacking Analysis：检测使用了 web_accessible_resources 指令的扩展 HTML 页面。根据页面用途，这些页面可能存在 clickjacking 风险。
• Permission Warning(s) viewer：显示用户尝试安装扩展时会看到的 Chrome 权限提示列表。
• Dangerous Function(s)：显示可能被攻击者利用的危险函数位置（例如 innerHTML、chrome.tabs.executeScript 等）。
• Entry Point(s)：显示扩展接收用户/外部输入的位置。这有助于理解扩展的攻击面并寻找向扩展发送恶意构造数据的潜在点。
• Dangerous Function(s) 和 Entry Point(s) 扫描器为其生成的告警提供：
  • 导致告警的相关代码片段和行号。
  • 问题描述。
  • “View File” 按钮以查看包含该代码的完整源文件。
  • 被告警文件的路径。
  • 被告警文件的完整 Chrome extension URI。
  • 文件类型，例如 Background Page 脚本、Content Script、Browser Action 等。
  • 如果易受攻击的行在 JavaScript 文件中，显示所有包含该文件的页面路径以及这些页面的类型和 web_accessible_resource 状态。
• Content Security Policy (CSP) analyzer and bypass checker：指出扩展 CSP 的弱点，并展示由于白名单 CDN 等导致的潜在绕过方式。
• Known Vulnerable Libraries：使用 Retire.js 检查是否使用已知有漏洞的 JavaScript 库。
• 下载扩展及格式化版本。
• 下载原始扩展。
• 下载美化后的扩展版本（自动美化的 HTML 和 JavaScript）。
• 自动缓存扫描结果：首次运行扩展扫描可能耗时较长，但如果扩展未更新，第二次运行几乎即时，因为结果被缓存。
• 可链接的报告 URL，方便将生成的扩展报告分享给他人。

Neto

Project Neto 是一个面向 Python 3 的包，旨在分析并揭示 Firefox 和 Chrome 等知名浏览器插件与扩展的隐藏特性。它自动化解压打包文件的过程，从扩展中的相关资源（如 manifest.json、本地化文件夹或 Javascript/HTML 源文件）提取这些特性。

References

• Thanks to @naivenom for the help with this methodology
• https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing
• https://palant.info/2022/08/10/anatomy-of-a-basic-extension/
• https://palant.info/2022/08/24/attack-surface-of-extension-pages/
• https://palant.info/2022/08/31/when-extension-pages-are-web-accessible/
• https://help.passbolt.com/assets/files/PBL-02-report.pdf
• https://developer.chrome.com/docs/extensions/develop/concepts/content-scripts
• https://developer.chrome.com/docs/extensions/mv2/background-pages
• https://thehackerblog.com/kicking-the-rims-a-guide-for-securely-writing-and-auditing-chrome-extensions/
• https://gist.github.com/LongJohnCoder/9ddf5735df3a4f2e9559665fb864eac0
• https://redcanary.com/blog/threat-detection/assemblyline-browser-extensions/

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。