Hindsight v2025.03 发布:浏览器扩展数据分析新功能

Hindsight v2025.03版本专注于扩展功能分析,新增对8种扩展相关数据库的解析能力,支持扩展权限和清单文件检查,为浏览器扩展安全分析提供更全面的数据支持。

Hindsight v2025.03 发布!

Hindsight v2025.03 版本专注于扩展功能 - 解析更多活动状态记录,突出显示扩展权限,并更轻松地检查清单文件。

背景

我一直在关注涉及浏览器扩展攻击的相关新闻,并阅读了一些关于事件经过和方式的优秀分析报告。我鼓励大家阅读 Secure Annex 的 John Tuckner 关于 Cyberhaven 扩展被入侵的帖子:

Cyberhaven 扩展被入侵 Secure Annex 的 John Tuckner 分析了 Cyberhaven 扩展如何被入侵以及这对组织意味着什么。

长期以来,我一直计划在 Hindsight 中添加更多与扩展相关数据库的解析功能,现在似乎是个合适的时机!

新的"扩展数据"部分

Hindsight 现在可以解析八个与扩展活动相关的数据库(它们都使用 LevelDB 并共享类似的格式)。这些数据库包括:

  • 扩展规则
  • 扩展脚本
  • 扩展状态
  • 本地应用设置
  • 本地扩展设置
  • 托管扩展设置
  • 同步应用设置
  • 同步扩展设置

由于这些记录与其他"存储"记录不同,我决定将它们放在新的扩展数据输出部分中。这些记录没有明确的时间戳(尽管在非结构化的 Value 字段中存在大量时间戳)。我对插件和额外解析有一些想法,但这需要等待后续版本。目前,我认为简单地展示这些数据是一个很好的起点。

XLSX 输出中的新"扩展数据"选项卡

此版本中对输出"已安装扩展"部分的另一个较小更改是添加了"权限"和"清单"列。“清单"列包含扩展的完整 manifest.json 文件,因为根据所询问的问题,其中的许多不同部分都与分析相关。我将权限部分从清单中提取到单独的列中以突出显示,因为我认为这特别重要。我还认为能够快速扫描已安装扩展列表并查看每个扩展具有的权限是很有用的,以防某些内容看起来有点不寻常。

更新的"已安装扩展"选项卡,包含权限和清单列

获取 Hindsight!

您可以在 GitHub 上获取 Hindsight、查看代码并查看完整的变更日志。此版本的命令行和 Web UI 版本均可用:

  • 编译好的 exe 文件附在 GitHub 发布版中或位于 dist/ 文件夹中
  • Python 版本可通过 pip install pyhindsight 或下载/克隆 GitHub 仓库获得

Unfurl 2025.03

Unfurl v2025.03 增加了新功能,包括解析 Google Search 的 UDM 参数、支持 Mastodon 分支(如 Truth Social),以及用于"清理"输入的实用程序解析器。

Unfurl v2025.02 发布

Unfurl v2025.02 增加了对混淆 IP 地址的解析、更多 Bluesky 时间戳等功能!

验证 Netflix《Carry-On》电影中的截图

我观看了 Netflix 的《Carry-On》,注意到屏幕上有一个真实的 Google Search URL,从中提取了大量数据点并"验证"了截图。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次