Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Вредоносные браузерные расширения и борьба с н...

OWASP Moscow
December 04, 2017
Technology
0
200

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

OWASP Russia Meetup #6

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
420
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
600
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
850
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
560
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
470
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
540
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
530
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
470
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
460

Other Decks in Technology

See All in Technology
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
510
地理情報データをデータベースに格納しよう~ GPUを活用した爆速データベース PG-Stromの紹介 ~
sakaik
1
150
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
380
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.6k
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
150
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
フルカイテン株式会社 採用資料
fullkaiten
0
40k
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
350
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
160

Featured

See All Featured
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Facilitating Awesome Meetings
lara
50
6.1k
The Language of Interfaces
destraynor
154
24k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Designing for humans not robots
tammielis
250
25k
Statistics for Hackers
jakevdp
796
220k
BBQ
matthewcrist
85
9.3k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
How to train your dragon (web standard)
notwaldorf
88
5.7k
A Tale of Four Properties
chriscoyier
156
23k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k

Transcript

  1. Развлекательная социальная сеть Одноклассники 2017 Что мы знаем про вредоносные

    расширения Хрома

  2. Развлекательная социальная сеть Одноклассники 0 История

  3. 3

  4. 4

  5. Развлекательная социальная сеть Одноклассники 1 Вредоносные расширения

  6. 6 Расширения в Хроме https://developer.chrome.com/extensions/overview - Manifest file - Background

    pages - Event pages - Content Scripts

  7. 7 Что могут расширения - Подписываться на события - Выполнять

    код в контексте произвольного домена - Изменять DOM - chrome.* APIs - Inline установка

  8. 8 Что могут плохие расширения - Слушать ввод, собирать данные

    - Выполнять код в контексте вашего домена - Изменять интерфейс - Изменять настройки браузера

  9. 9 В чем проблема - Content Scripts => Same Origin

    Policy - Вирус на js - Плохо обнаруживаются антивирусами - Не вызывают подозрений пользователя

  10. 10 Подмена рекламы в браузерах Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html статистика Google, 2015

    % 5.5

  11. Развлекательная социальная сеть Одноклассники 2 Content Security Policy

  12. 12

  13. 13 Отчеты о нарушении Content Security Policy

  14. 14 Content Security Policy

  15. 15 Ой

  16. 16 9.1. Vendor-specific Extensions and Addons Policy enforced on a

    resource SHOULD NOT interfere with the operation of user- agent features like addons, extensions, or bookmarklets. These kinds of features generally advance the user’s priority over page authors, as espoused in [HTML- DESIGN]. http://www.w3.org/TR/CSP3/#extensions … we model extensions more or less as an application of the user's will, and … we prioritize the user above the site. This means that the extension is explicitly allowed to do things that the site owner would prefer that it not do. https://bugs.chromium.org/p/chromium/issues/detail?id=634265

  17. Развлекательная социальная сеть Одноклассники 3 MutationObserver

  18. 18 MutationObserver https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

  19. 19 ok.ru/alexandra.svatikova linkedin.com/in/asvatikova/ [email protected] Спасибо