大多數(shù)Web瀏覽器用戶都期望瀏覽器擴展程序、插件和瀏覽器幫助者對象(BHO)能提供一些便利。

不幸的是，這些附加產(chǎn)品通過將組件添加到瀏覽器的默認功能來提高生產(chǎn)力的同時，也成為惡意攻擊者的首要攻擊目標。因為企業(yè)在修補和更新插件和擴展程序方面的能力普遍較差，所以瀏覽器就成為了終端最脆弱的攻擊目標。對于終端環(huán)境來說，大多數(shù)企業(yè)的補丁周期是兩到三個月，這個周期很長以至于企業(yè)不能及時地跟上利用瀏覽器擴展程序和插件漏洞的攻擊組件。

在本文中，我們將探討Web瀏覽器擴展程序在普及程度和功能完善兩方面的發(fā)展，以及它對固有環(huán)境的威脅和如何緩解這種狀況。

雖然很多熱門的附加組件是由知名供應(yīng)商所開發(fā)，但是任何人都可以寫一段代碼讓這些組件成為傳遞惡意的潛在工具。過去，惡意瀏覽器擴展程序通過在網(wǎng)站插入虛假廣告或挾持搜索查詢，來進行點擊欺詐。例如，安全研究員Zoltan Balazs開發(fā)了一個可以修改網(wǎng)頁，下載并執(zhí)行文件，挾持賬戶和繞過雙因素身份認證的瀏覽器擴展程序。感染了這個擴展程序的瀏覽器會被控制，就像一個僵尸客戶端：這個擴展程序接收指令并且將信息發(fā)送給攻擊者。因為依據(jù)瀏覽器發(fā)起的HTTP通信數(shù)據(jù)看起來是正常的，那么對于本地或網(wǎng)絡(luò)防火墻來說，很難發(fā)現(xiàn)并阻止這個惡意軟件。

瀏覽器旨在為用戶提供一些擴展程序權(quán)限控制，但是通常會因為粗粒度訪問控制而被攻擊，另外，用戶總是對各種附加產(chǎn)品授予權(quán)限，危險意識不足。永遠不要只是因為一個附加產(chǎn)品托管在官方擴展程序庫中，就想當然認為它是安全的。盡管大多數(shù)附加產(chǎn)品在推出之前都要經(jīng)過審查，但是違反瀏覽器開發(fā)者程序政策的惡意擴展程序并不少見。比如，提交給蘋果擴展程序庫的蘋果Safari擴展程序其實托管在一個外部位置，而Mozilla Firefox允許來自第三方網(wǎng)站擴展程序的安裝。

當審查要安裝在企業(yè)的擴展程序時，始終牢記擴展程序可以訪問的資源類型和數(shù)據(jù)發(fā)送的目標位置。盡管谷歌為Chrome瀏覽器擴展程序設(shè)定了風險等級，而且谷歌最近剛剛宣布將收緊限制，使基于Windows的擴展程序只能通過Chrome Web商店來添加，但是管理員還是應(yīng)該完成他們自己的評估。對待任意擴展程序都應(yīng)該高度謹慎，做到以下要求：

• 與本地文件交互

• 與Windows注冊表交互

• 與cookies交互

• 訪問任意瀏覽器選項卡或窗口

• 執(zhí)行用戶的shell指令

沙盒插件應(yīng)該總是優(yōu)于非沙盒插件，因為后者是在用戶的特權(quán)級別下運行，可能訪問到如系統(tǒng)文件或網(wǎng)絡(luò)資源。在企業(yè)中，任意需要高特權(quán)訪問的擴展程序或插件如果想要被允許，其只能是一個大的業(yè)務(wù)案件而且風險評估認為其是絕對必要的。

瀏覽器應(yīng)該始終開啟自動更新選項，但是要知道并不是所有插件都會自動更新。例如，Chrome會自動更新Adobe Flash插件，但是大部分其它擴展程序需要通過運行相關(guān)產(chǎn)品的安裝程序進行更新。建議禁止運行已經(jīng)過時的插件，這樣有助于確保企業(yè)的修復策略，包括瀏覽器擴展程序和插件。企業(yè)可能考慮實施審計工具，如Secunia CSI 7.0或Qualys BrowserCheck，這些可以掃描常見的瀏覽器插件，并確定它們是否需要更新。

同時，很多瀏覽器廠商都試圖提高附加產(chǎn)品的安全性。Chrome瀏覽器不再允許靜默擴展程序安裝，這和IE瀏覽器的Protected Mode、Firefox的擴展程序控制類似，這些都不允許靜默擴展程序安裝。在活動目錄(Active Directory)環(huán)境中，組策略(Group Policy)提供一套全面的設(shè)置來管理Windows IE8，包括啟用或禁用ActiveX空間和限制擴展程序安裝或運行的能力。FirefoxADM也可以產(chǎn)生安全組策略對象(GPO)來管理安裝設(shè)置。盡管Chrome瀏覽器有安裝模版，還是要手動創(chuàng)建GPO來部署一個Windows域。

為了成功的降低擴展程序風險，推薦將所有的插件列入黑名單，然后選擇性地添加一些必要的插件進入白名單。需要降低風險狀況的企業(yè)應(yīng)該也要考慮清除最廣泛受到攻擊的插件，將其從所有計算機上完全卸載，除非業(yè)務(wù)應(yīng)用程序?qū)ζ溆衅惹行枨?。Java作為最廣泛的插件目標對象，應(yīng)該被考慮到。第二最常見被利用的目標應(yīng)用程序是Adobe Reader.企業(yè)可能考慮到使用替代品，如使用集成在Firefox瀏覽器的Mozilla PDF 閱讀器來替代Adobe版本。

瀏覽器擴展程序的風險是非?，F(xiàn)實的。企業(yè)和終端用戶都需要非常認真地對待這些威脅。安裝意識培訓應(yīng)該強調(diào)擴展程序可以潛在地訪問瀏覽器中的一切，所有數(shù)據(jù)、密碼和瀏覽的網(wǎng)站。還應(yīng)該注意的是，用戶永遠不應(yīng)該安裝未知擴展程序，允許任意失控插件的安裝可能會提高網(wǎng)絡(luò)的整體攻擊面，并讓用戶和網(wǎng)絡(luò)對于感染和數(shù)據(jù)丟失無防備。