在今天的互联网时代,我们所爱的软件和网络服务在生产和维护上变得越来越依赖开发者的工具。这些工具很多时候都会秉承“快速迭代”的思想,从而加速了产品的发布进程,然而,同时也为黑客攻击者提供了机会。
近期,一篇研究通过调试器 API 滥用 Chrome DevTools 协议的文章正在备受关注。这篇文章给人们带来了震撼性的发现,即黑客可以利用该方法轻松扩展任意数量的Chrome扩展,并将其用于攻击。
研究者采用了一种被称为“沙箱逃逸”的攻击方式,使得黑客能够借助Chrome DevTools协议,将恶意代码注入到扩展中。该研究证明了黑客可以通过DevTools协议轻易获取该扩展的全部权限、浏览历史及所有网站的Cookie信息。
而对于开发者来说,这篇文章意味着需要更加警惕目前使用的API。研究也提到了该漏洞并非完全无法弥补,而是可以通过提高调试器API的安全性来避免类似漏洞的再次发生。
为避免成为黑客的攻击目标,对于Chrome开发者而言,需要了解调试工具,但同时也需要清楚了解其可能导致的风险。开发者可以采用一些措施来减轻这些风险,如限制扩展的权限。而对于用户,则需要警惕该风险的存在,并尽可能排除潜在威胁。
总之,如今的时代给了我们越来越多的机会和便利,但同时也伴随着风险和挑战。成为聪明的用户和开发者,只有在更加警觉的情况下才能够充分利用这些机会和便利,并在保证安全前提下持续追求进步。
了解更多有趣的事情:https://blog.ds3783.com/