恶意浏览器扩展
恶意浏览器扩展 是什么?
恶意浏览器扩展滥用宿主权限窃取凭据、劫持会话、注入广告或外发用户数据的浏览器插件,常通过被攻陷的合法扩展更新实现。
恶意浏览器扩展是滥用浏览器(Chrome、Edge、Firefox、Safari)赋予扩展的广泛权限(读取/修改所有站点、访问 Cookie、拦截网络请求、注入内容脚本)的插件,可以执行远超普通网页能力的攻击。常见手法包括窃取凭据与 Cookie、会话劫持、广告注入、搜索引擎劫持、加密货币挖矿、外发企业 SaaS 数据等。扩展通常因供应链攻击而变得恶意:开发者账户被攻陷、扩展被出售给恶意方,或被植入恶意依赖。防御措施包括在企业内启用扩展白名单、监控权限变更、利用 Manifest V3 的来源限制,以及卸载未使用的扩展。
● 示例
- 01
一款流行扩展被出售并更新为注入推广链接并窃取会话 Cookie。
- 02
OAuth 流程扩展将 Gmail 令牌外发到攻击者控制的服务器。
● 常见问题
恶意浏览器扩展 是什么?
滥用宿主权限窃取凭据、劫持会话、注入广告或外发用户数据的浏览器插件,常通过被攻陷的合法扩展更新实现。 它属于网络安全的 应用安全 分类。
恶意浏览器扩展 是什么意思?
滥用宿主权限窃取凭据、劫持会话、注入广告或外发用户数据的浏览器插件,常通过被攻陷的合法扩展更新实现。
恶意浏览器扩展 是如何工作的?
恶意浏览器扩展是滥用浏览器(Chrome、Edge、Firefox、Safari)赋予扩展的广泛权限(读取/修改所有站点、访问 Cookie、拦截网络请求、注入内容脚本)的插件,可以执行远超普通网页能力的攻击。常见手法包括窃取凭据与 Cookie、会话劫持、广告注入、搜索引擎劫持、加密货币挖矿、外发企业 SaaS 数据等。扩展通常因供应链攻击而变得恶意:开发者账户被攻陷、扩展被出售给恶意方,或被植入恶意依赖。防御措施包括在企业内启用扩展白名单、监控权限变更、利用 Manifest V3 的来源限制,以及卸载未使用的扩展。
如何防御 恶意浏览器扩展?
针对 恶意浏览器扩展 的防御通常结合技术控制与运营实践,详见上方完整定义。
恶意浏览器扩展 还有哪些其他名称?
常见的别称包括: 浏览器扩展恶意软件, 流氓扩展。
● 相关术语
- appsec№ 129
浏览器沙箱
操作系统层的隔离机制,限制浏览器的渲染进程和辅助进程,防止被攻陷的网页代码读取文件系统或其他应用。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- attacks№ 1016
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
- attacks№ 219
Cookie 劫持
窃取并重放用户的 HTTP Cookie(通常是会话或认证 Cookie),以冒充该用户访问 Web 应用的攻击。
- malware№ 1083
间谍软件
在用户不知情的情况下收集其与设备或组织信息、并将其发送给外部方的恶意软件。
- malware№ 019
广告软件
自动显示、注入或重定向到广告的软件,常与免费软件捆绑,并经常追踪用户行为。