Tarnish：Chrome扩展静态安全分析工具教学文档

一、工具概述

Tarnish是一个专门针对Chrome扩展的静态安全分析工具，旨在帮助安全研究人员快速识别Chrome扩展中存在的潜在安全漏洞。该工具自动化了许多常规的安全检测任务，提供了全面的安全审计功能。

二、工具获取与安装

1. 在线版本使用

• 直接访问Tarnish线上版本：Tarnish传送门（原链接未提供具体URL）
• 无需本地安装，适合快速分析

2. 本地安装

git clone https://github.com/mandatoryprogrammer/tarnish.git

三、核心功能详解

1. Manifest.json查看器

• 以JSON格式完整显示扩展的manifest文件内容
• 帮助分析扩展的基本配置和权限声明

2. 指纹分析

• 检测web_accessible_resources配置
• 自动化生成Chrome扩展的JavaScript指纹
• 识别可能被外部页面访问的资源

3. 点击劫持分析

• 检测设置了web_accessible_resources的HTML页面
• 根据页面用途评估点击劫持风险
• 识别可能被恶意网站iframe嵌入的扩展页面

4. 权限警告分析

• 列出所有Chrome权限提示警告
• 显示用户安装扩展时会看到的权限请求
• 帮助评估扩展的权限过度申请问题

5. 危险函数检测

• 识别可能被攻击者利用的危险函数位置，包括：
  • innerHTML（可能导致XSS）
  • chrome.tabs.executescript（任意代码执行）
  • 其他潜在危险API调用

6. 入口点分析

• 显示扩展接受用户/外部输入的位置
• 帮助理解扩展的攻击面
• 识别可能发送恶意数据的潜在入口

7. CSP分析与绕过检测

• 分析内容安全策略(CSP)配置
• 检测CSP中的弱点
• 提供潜在的CSP绕过方法
• 检查CDN白名单的潜在绕过方式

8. 已知漏洞库检测

• 使用retire.js检测扩展中使用的JavaScript库
• 识别已知易受攻击的库版本
• 提供相关漏洞信息

四、使用方法

1. 输入Chrome扩展的链接地址（来自Chrome Web商店）
2. 工具会自动下载并分析扩展包
3. 查看各项分析结果，重点关注：
   • 高风险权限
   • 危险函数调用
   • CSP配置问题
   • 已知漏洞库

五、应用场景

1. 扩展开发者：在发布前进行安全自查
2. 安全研究人员：快速评估扩展的安全性
3. 企业安全团队：审核员工使用的扩展安全性
4. 普通用户：检查已安装扩展的安全状况

六、项目资源

• GitHub源码：Tarnish源码
• 在线版本：Tarnish线上版本（原链接未提供具体URL）

七、注意事项

1. 该工具主要进行静态分析，无法检测运行时动态行为
2. 部分分析结果可能需要人工验证
3. 对于私有扩展，需确保有合法权限进行分析
4. 建议结合动态分析工具进行更全面的安全评估

八、扩展知识

1. Chrome扩展常见漏洞类型：

   • 权限过度申请
   • XSS漏洞
   • CSP配置不当
   • 敏感信息泄露
   • 点击劫持

2. 相关安全工具：

   • CRX Viewer：查看扩展包内容
   • Chrome扩展源代码查看器
   • Retire.js：JavaScript漏洞库检测

通过Tarnish工具，安全研究人员可以高效地完成Chrome扩展的安全审计工作，快速识别潜在风险点，提高安全评估的效率和质量。