Estoy escaneando las extensiones del navegador de Chrome y Firefox en busca de vulnerabilidades. ¿Hay alguna herramienta que me ayude a hacer esto?
Estoy escaneando las extensiones del navegador de Chrome y Firefox en busca de vulnerabilidades. ¿Hay alguna herramienta que me ayude a hacer esto?
Hay uno para Chrome, publicado a mediados del año pasado , llamado XSS ChEF . Basado en algunos anterior work encontrando vulnerabilidades en las extensiones de Chrome. Lamentablemente, no parece que se trate de encontrar nuevas vulnerabilidades, sino más bien una forma más fácil de explotarlas / demostrarlas una vez que haya encontrado una.
No lo he usado yo mismo, pero según la forma en que funciona (es solo un servidor web), me imagino que es posible usarlo para explotar las extensiones de Firefox o, al menos, para extenderlo y poder acceder a Firefox interno. Estado una vez que haya encontrado una extensión vulnerable.
BeEF puede ser un buen lugar para comenzar a buscar también.
Una herramienta similar es Qualys BrowserCheck pero anuncia que comprueba las vulnerabilidades de los complementos y no las vulnerabilidades de extensión. Lo he intentado y solo detecto actualizaciones para los complementos en mi caso. Recuerde que, como comentó @Ladadadada, los complementos y extensiones del navegador son diferentes elementos .
Qualys BrowserCheck realizará un análisis de seguridad de su navegador y sus complementos para identificar cualquier problema de seguridad.
Lea otras preguntas en las etiquetas web-browser chrome browser-extensions firefox vulnerability-scanners