Ghê, xin đề bài thôi mà tốt bụng đưa cả link bài lab 3. Haha, mình thì vẫn hay cảnh giác ( chắc mình dân an toàn nên hơi cẩn thận, mặc dù mình cũng chả có cái gì để mà bảo mật cả ). Sáng nay lại được nghe Thầy giáo kể Hack Bluezone trong vòng 2 phút! Ái chà, hịn đấy, mình ngồi đọc thấy cũng phê, à bài viết bên "an toàn" bảo thầy gỡ xuống vì nhiều lý do, bạn nào muốn đọc thì ping mình gửi cho nhé ( Mà tầm này chắc lỗ hổng vá hết rồi ). Đó nói qua qua về lý do mình ngồi viết blog với tiêu đề trên ( trong 2 phút ). Mặc dù đây là lần đầu mình viết extension.
Bắt tay vào code thôi.
Cấu trúc của extention đơn giản gồm các file như hình bên dưới:
Đầu tiên quan trọng nhất để viết extension là file manifest.json
Khai báo những thông tin cơ bản như trong hình. Mình giải thích qua qua thôi, vì những trường như trên rất dễ hiểu. Chú ý thằng "permissions", để nó có thể lấy được url nhé.
"browser_action": có 2 cái là "default_icon": biểu tượng extension hiện thị trên trình duyệt, "default_popup" : là màn hình khi các bạn kích vào icon.
"manifest_version" thì nên là 2 này vì cái phiên bản 1 cũ rồi nên các thẻ quy định trong nó coi như không còn sử dụng nữa
Follow
Đầu tiên mình định lấy url xong call api lên cho thằng phishtank kiểm tra rồi phản hồi kết quả. Nhưng sau đó mình quyết định là sẽ chỉ kiểm tra url so với những url độc hại, hay những domain độc hại mà mình lấy về từ nhiều nguồn - định dạng json. ( Làm extension 2 phút mà, haha, chủ yếu giúp các bạn làm 1 cái extension cho riêng mình thôi. )
Đề nhận biết một cuộc tấn công:
- Giả mạo địa chỉ của người gửi trong email (để trông giống như một nguồn có uy tín)
- Cài đặt phần mềm độc hại Trojan thông qua phần đính kèm hoặc quảng cáo email độc hại
- Cố gắng thu thập thông tin công ty qua điện thoại bằng cách đóng giả là đại diện CNTT hoặc nhà cung cấp công ty đã biết
- Nhúng một liên kết trong một email chuyển hướng bạn đến một trang web lừa đảo yêu cầu thông tin nhạy cảm
Hiện nay thì có rất nhiều extension giúp bạn phòng chống tấn công phishing rồi, các bạn có thể tìm hiểu hơn. Ở bài viết này mình sẽ chủ yếu hướng dẫn cách làm 1 extension, cài đặt và run thôi nhé.
Kịch bản: một người lạ đưa bạn một url và yêu cầu thông tin nhạy cảm, làm sao để biết nó an toàn hay không an toàn?
Lan man sang an toàn thông tin rồi, về vấn đề chính thôi.
Trong file popup.html
Javascript thì bạn nên tách ra một file riêng nhé. Nói chung nó quá rõ ràng rồi nên mình không giải thích, hihi
File popup.js
Hàm checkUrl: mình dùng array.some mà không nhận, si đa vãi shit. nên mình viết for thuần cho ngầu. hàm này dùng kiểm tra xem url có trong danh sách độc hại hay không.
Hàm dưới là hàm xử lý: dùng lấy url của tab hiện tại, rồi trả về phản hồi.
Ok. Bây giờ upload lên chorme thôi.
Ok vậy là đã có extension của riêng mình rồi nhé. Quá đơn giản đúng không nào. 2 phút!
Test thành quả thôi.
Cảm ơn các bạn đã đọc bài viết. Đây là lần đầu tiên mình viết extension, nên có vấn gì đó sai sót các bạn góp ý ạ. Chúc các bạn ai cũng sẽ làm được một cái extension của riêng mình.
0 Comment: