大多數Web瀏覽器用戶都期望瀏覽器擴展程序、插件和瀏覽器幫助者對象(BHO)能提供一些便利。

不幸的是，這些附加產品通過將組件添加到瀏覽器的默認功能來提高生產力的同時，也成為惡意攻擊者的首要攻擊目標。因為企業在修補和更新插件和擴展程序方面的能力普遍較差，所以瀏覽器就成為了終端最脆弱的攻擊目標。對于終端環境來說，大多數企業的補丁周期是兩到三個月，這個周期很長以至于企業不能及時地跟上利用瀏覽器擴展程序和插件漏洞的攻擊組件。

在本文中，我們將探討Web瀏覽器擴展程序在普及程度和功能完善兩方面的發展，以及它對固有環境的威脅和如何緩解這種狀況。

雖然很多熱門的附加組件是由知名供應商所開發，但是任何人都可以寫一段代碼讓這些組件成為傳遞惡意的潛在工具。過去，惡意瀏覽器擴展程序通過在網站插入虛假廣告或挾持搜索查詢，來進行點擊欺詐。例如，安全研究員Zoltan Balazs開發了一個可以修改網頁，下載并執行文件，挾持賬戶和繞過雙因素身份認證的瀏覽器擴展程序。感染了這個擴展程序的瀏覽器會被控制，就像一個僵尸客戶端：這個擴展程序接收指令并且將信息發送給攻擊者。因為依據瀏覽器發起的HTTP通信數據看起來是正常的，那么對于本地或網絡防火墻來說，很難發現并阻止這個惡意軟件。

瀏覽器旨在為用戶提供一些擴展程序權限控制，但是通常會因為粗粒度訪問控制而被攻擊，另外，用戶總是對各種附加產品授予權限，危險意識不足。永遠不要只是因為一個附加產品托管在官方擴展程序庫中，就想當然認為它是安全的。盡管大多數附加產品在推出之前都要經過審查，但是違反瀏覽器開發者程序政策的惡意擴展程序并不少見。比如，提交給蘋果擴展程序庫的蘋果Safari擴展程序其實托管在一個外部位置，而Mozilla Firefox允許來自第三方網站擴展程序的安裝。

當審查要安裝在企業的擴展程序時，始終牢記擴展程序可以訪問的資源類型和數據發送的目標位置。盡管谷歌為Chrome瀏覽器擴展程序設定了風險等級，而且谷歌最近剛剛宣布將收緊限制，使基于Windows的擴展程序只能通過Chrome Web商店來添加，但是管理員還是應該完成他們自己的評估。對待任意擴展程序都應該高度謹慎，做到以下要求：

• 與本地文件交互

• 與Windows注冊表交互

• 與cookies交互

• 訪問任意瀏覽器選項卡或窗口

• 執行用戶的shell指令

沙盒插件應該總是優于非沙盒插件，因為后者是在用戶的特權級別下運行，可能訪問到如系統文件或網絡資源。在企業中，任意需要高特權訪問的擴展程序或插件如果想要被允許，其只能是一個大的業務案件而且風險評估認為其是絕對必要的。

瀏覽器應該始終開啟自動更新選項，但是要知道并不是所有插件都會自動更新。例如，Chrome會自動更新Adobe Flash插件，但是大部分其它擴展程序需要通過運行相關產品的安裝程序進行更新。建議禁止運行已經過時的插件，這樣有助于確保企業的修復策略，包括瀏覽器擴展程序和插件。企業可能考慮實施審計工具，如Secunia CSI 7.0或Qualys BrowserCheck，這些可以掃描常見的瀏覽器插件，并確定它們是否需要更新。

同時，很多瀏覽器廠商都試圖提高附加產品的安全性。Chrome瀏覽器不再允許靜默擴展程序安裝，這和IE瀏覽器的Protected Mode、Firefox的擴展程序控制類似，這些都不允許靜默擴展程序安裝。在活動目錄(Active Directory)環境中，組策略(Group Policy)提供一套全面的設置來管理Windows IE8，包括啟用或禁用ActiveX空間和限制擴展程序安裝或運行的能力。FirefoxADM也可以產生安全組策略對象(GPO)來管理安裝設置。盡管Chrome瀏覽器有安裝模版，還是要手動創建GPO來部署一個Windows域。

為了成功的降低擴展程序風險，推薦將所有的插件列入黑名單，然后選擇性地添加一些必要的插件進入白名單。需要降低風險狀況的企業應該也要考慮清除最廣泛受到攻擊的插件，將其從所有計算機上完全卸載，除非業務應用程序對其有迫切需求。Java作為最廣泛的插件目標對象，應該被考慮到。第二最常見被利用的目標應用程序是Adobe Reader.企業可能考慮到使用替代品，如使用集成在Firefox瀏覽器的Mozilla PDF 閱讀器來替代Adobe版本。

瀏覽器擴展程序的風險是非?，F實的。企業和終端用戶都需要非常認真地對待這些威脅。安裝意識培訓應該強調擴展程序可以潛在地訪問瀏覽器中的一切，所有數據、密碼和瀏覽的網站。還應該注意的是，用戶永遠不應該安裝未知擴展程序，允許任意失控插件的安裝可能會提高網絡的整體攻擊面，并讓用戶和網絡對于感染和數據丟失無防備。