해킹에 사용될 수 있는 크롬 확장 프로그램을 알아보자!

안녕하세요. 오늘은 크롬 확장 프로그램에 대해 소개해드리려고 합니다.

크롬 확장 프로그램이란, 웹 브라우저의 한계를 뛰어넘어 더 많은 기능을 사용할 수 있는 프로그램입니다.

옛날 정부 사이트에서 액티브X를 사용하다가 현재는 액티브X가 아닌 프로그램을 사용하는데요.

개인적인 의견으로 언젠간 정부 사이트 내 프로그램들은 크롬 확장 프로그램으로 옮겨가지 않을까 생각해봅니다.

 

https://www.dailysecu.com/news/articleView.html?idxno=29595

구글, 악성 크롬 확장 프로그램에 대해 경고 - 데일리시큐

https://www.boannews.com/media/view.asp?idx=56422&skind=O

480만 명 쓰는 크롬 확장 프로그램 8개, 악성 코드 감염됐다

 

그러나, 크롬 확장 프로그램은 이미 몇년 전 부터 확장프로그램이 악용되어, 인터넷에 기사들이 많습니다.

저 역시 크롬 확장 프로그램을 이용해 해킹(버그바운티)할 수 있다고 생각이 들어서 

확장 프로그램을 만드는 방법에 대해 알아보았습니다.

 

크롬 확장 프로그램은 복잡하게도 구성할 수 있지만, 최대한 간단한 방법을 소개해드립니다.

먼저 manifest.json파일이 필요한데요. 최소한의 구성을 가진 manifest파일은 아래와 같습니다.

{
    "name": "gegul의 프로그램",
    "version": "0.1",
    "description": "크롬 해킹 프로그램",
    "manifest_version": 2,
    "content_scripts": [
        {
            "js": ["main.js"],
			"matches":["http://*/*"],
			"run_at":"document_end"
        }
    ],
	"icons" : {"16": "img/icon.png",
				"32": "img/icon.png",
				"128": "img/icon.png"
	}
}

 

manifest에서 볼 수 있는 것처럼 js파일과 스크립트를 실행할 도메인, 

그리고 run_at은 스크립트를 언제 로딩할 것인지에 대해 정할 수 있습니다. 

document_idle, document_start, document_end가 올 수 있으며,

각각 페이지 시작, 끝 그리고 언제든지 로딩한다는 뜻을 가지고 있습니다. 

 

이제 크롬 확장 프로그램을 로딩시켜볼건데요.

아래 파일을 다운로드 받아 압축을 풀면 위에 설명드린 파일을 볼 수 있습니다.

크롬 확장 프로그램.zip

0.01MB

 

 

그리고 설정에서 도구 더보기 -> 확장 프로그램을 클릭하면 크롬 확장 프로그램 창이 뜨는데요.

여기에서 개발자모드를 켜주어야 크롬 확장 프로그램을 로딩할 수 있습니다.

 

개발자 모드를 켜면, 확장 프로그램을 로드할 수 있는 버튼이 생깁니다. 

그리고 압축을 해제한 폴더를 선택해주면 확장 프로그램이 로딩된 것을 볼 수 있죠

 

이제 자바스크립트로 프로그래밍을 해야하는데요. 

API들은 아래를 참고하시면 됩니다.

https://developer.chrome.com/extensions/devguide

Develop Extensions - Google Chrome

 

오늘 깨달은 교훈 : 버그는 남들이 신경쓰지 않는 곳에서 일어난다.