前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Tarnish:一款针对Chrome扩展的静态安全分析平台

Tarnish:一款针对Chrome扩展的静态安全分析平台

作者头像
FB客服
发布2019-10-29 14:19:18
5650
发布2019-10-29 14:19:18
举报
文章被收录于专栏:FreeBuf

今天给大家介绍的是一个名叫Tarnish的工具,Tarnish是一个Chrome扩展静态分析工具,可帮助研究人员对Chrome扩展的安全情况进行审计。

Tarnish

Tarnish可以自动化实现很多常规的安全监测任务,并且可以帮助研究人员快速识别目标Chrome扩展中存在的潜在安全漏洞。

如果你嫌麻烦,不想自己在本地安装和构建Tarnish的话,你可以直接使用Tarnish的线上版本来对目标Chrome扩展进行安全检测。

工具下载

如果你不想使用线上版本,你想在本地自行配置Tarnish的话,可以直接使用git命令将项目源码从GitHub库克隆至本地:

https://github.com/mandatoryprogrammer/tarnish.git

Tarnish运行截图

功能介绍

研究人员可以直接将任意Chrome扩展的链接地址(Chrome Web商店来源)拷贝到Tarnish的扩展输入栏中来进行安全审计。

manifest.json查看器:以JSON数据格式显示扩展的manifest文件内容。 指纹分析:检测web_accessible_resources,自动化生成Chrome扩展指纹(JavaScript)。 潜在的点击劫持分析:检测设置了web_accessible_resources指令的扩展html页面。根据页面的用途,判断页面是否容易受到点击劫持攻击。 权限警告:它显示了所有Chrome权限提示警告的列表,这些警告将在用户试图安装扩展时显示。 可能存在漏洞的函数:显示可能被攻击者利用的危险函数的位置(例如innerHTML、chrome.tabs.executescript等函数)。 入口点:显示扩展接受用户/外部输入的位置,这有助于理解扩展的潜在攻击面,并寻找潜在的入口点来向扩展发送恶意编制的数据。 内容安全策略(CSP)分析器和绕过检查器:它们可以检测出扩展中CSP的弱点,并提供绕过CSP和CDN白名单的任何潜在方法。 已知易受攻击的库:Tarnish将使用retire.js检查目标扩展中是否使用了已知的易受攻击的Javascript库。

项目地址

Tarnish源码:【GitHub传送门】 Tarnish线上版本:【传送门

* 参考来源:tarnish,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-10-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Tarnish
    • 工具下载
      • Tarnish运行截图
      • 功能介绍
      • 项目地址
      相关产品与服务
      内容分发网络 CDN
      内容分发网络(Content Delivery Network,CDN)通过将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档