Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

OWASP Moscow
December 04, 2017
Technology
0
170

"Вредоносные браузерные расширения и борьба с ними", Александра Сватикова

OWASP Russia Meetup #6

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
350
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
540
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
790
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
490
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
430
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
490
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
490
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
420
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
410

Other Decks in Technology

See All in Technology
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
2
200
初めましてが多いチームの形成期にEMが取り組んだ事
shoheimitani
1
110
Refactoring to Expressive Kotlin
davidkwon7
0
420
2024年のRailsと自由について考える
takahashim
18
4.9k
健常者から見たAndroidのアクセシビリティ機能
takamichie
PRO
0
120
はてなのチーム開発一巡り / Hatena Engineer Seminar 30
daiksy
0
290
生成AIを使った業務効率化〜実践的なプロンプトと活用例の紹介〜
yoshi8__
0
360
Next.js の fetch 拡張とキャッシュ機構の違いを理解する
ryo_manba
3
570
Recap: Kotlin Language Features in 2.0 and Beyond (Michail Zarečenskij)
dalinaum
0
380
120リポジトリを1つのMonorepoに統合した理由
disc99
1
420
爆速開発文化を支えるProduct Engineerの 開発生産性向上の取り組み
shnjtk
6
2.5k
Productivity-Conference-GitHub-20240629
yuhattor
2
1.6k

Featured

See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Building Flexible Design Systems
yeseniaperezcruz
321
37k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
21k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
73
15k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
For a Future-Friendly Web
brad_frost
173
9.1k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
9k
Happy Clients
brianwarren
93
6.5k
Clear Off the Table
cherdarchuk
87
320k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
10
3.7k
The Illustrated Children's Guide to Kubernetes
chrisshort
35
47k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
23
2k

Transcript

  1. Развлекательная социальная сеть Одноклассники 2017 Что мы знаем про вредоносные

    расширения Хрома

  2. Развлекательная социальная сеть Одноклассники 0 История

  3. 3

  4. 4

  5. Развлекательная социальная сеть Одноклассники 1 Вредоносные расширения

  6. 6 Расширения в Хроме https://developer.chrome.com/extensions/overview - Manifest file - Background

    pages - Event pages - Content Scripts

  7. 7 Что могут расширения - Подписываться на события - Выполнять

    код в контексте произвольного домена - Изменять DOM - chrome.* APIs - Inline установка

  8. 8 Что могут плохие расширения - Слушать ввод, собирать данные

    - Выполнять код в контексте вашего домена - Изменять интерфейс - Изменять настройки браузера

  9. 9 В чем проблема - Content Scripts => Same Origin

    Policy - Вирус на js - Плохо обнаруживаются антивирусами - Не вызывают подозрений пользователя

  10. 10 Подмена рекламы в браузерах Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html статистика Google, 2015

    % 5.5

  11. Развлекательная социальная сеть Одноклассники 2 Content Security Policy

  12. 12

  13. 13 Отчеты о нарушении Content Security Policy

  14. 14 Content Security Policy

  15. 15 Ой

  16. 16 9.1. Vendor-specific Extensions and Addons Policy enforced on a

    resource SHOULD NOT interfere with the operation of user- agent features like addons, extensions, or bookmarklets. These kinds of features generally advance the user’s priority over page authors, as espoused in [HTML- DESIGN]. http://www.w3.org/TR/CSP3/#extensions … we model extensions more or less as an application of the user's will, and … we prioritize the user above the site. This means that the extension is explicitly allowed to do things that the site owner would prefer that it not do. https://bugs.chromium.org/p/chromium/issues/detail?id=634265

  17. Развлекательная социальная сеть Одноклассники 3 MutationObserver

  18. 18 MutationObserver https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver

  19. 19 ok.ru/alexandra.svatikova linkedin.com/in/asvatikova/ [email protected] Спасибо