关键信息 漏洞概述 漏洞类型: Self-HTML Injection 受影响软件: Total WebShield (Chrome Extension v3.2) 发现日期: July 17, 2023 漏洞细节 1. 根本原因: - 扩展程序直接将 参数值插入到iframe的src属性中,未进行编码或验证。 2. 注入点: - 在处理Total WebShield关联的“block page”URL时,如下所示: 3. 概念验证(PoC): - 访问以下“block page”URL: 4. 影响: - 攻击者可以通过嵌套的iframe确认注入。 - 黑色页面显示攻击者的嵌套iframe以确认注入。 - 此内容在浏览器中不会触发任何安全错误。 - 此漏洞可用于: - 钓鱼和社交工程(通过诱骗用户点击恶意链接)。 - 点击劫持(通过覆盖页面上的合法选项)。 - 品牌损害(通过显示不安全的消息或形式)。 - 潜在的远程代码执行(如果与其他扩展程序结合使用)。 推荐措施 对用户控制的输入进行清理和转义。 减少与DOM交互的JavaScript使用。 验证 参数仅包含预期值(如:"Malware", "Phishing", "etc.")。 考虑实施Content Security Policy (CSP)以限制不受信任的行为。 学到的教训 即使是小的安全缺陷也可能导致严重的后果。 总是清理和验证所有与DOM交互的不受信任数据,特别是在具有高权限且直接与用户交互的扩展程序中。