uni-app安全评估报告-WebView存在潜在跨站脚本攻击风险、允许Webview访问本地任意脚本
uni-app安全评估报告-WebView存在潜在跨站脚本攻击风险、允许Webview访问本地任意脚本
安卓安全测评反馈问题
检测目的
检测应用是否存在WebView潜在跨站脚本攻击风险
风险等级
高
检测依据
国家计算机网络应急技术处理协调中心旗下“国家信息安全漏洞共享平台”关联漏洞编号:CNVD-2017-36682; CNVD-2015-07628;CVE-2015-1302;CWE-79。
风险描述
WebView组件可以解析HTML和JavaScript等网页内容,这样可能会遇到一些常见的安全问题,比如跨站脚本攻击(Cross-Site-Scripting, JavaScript注入)。Android包含了大量的安全机制用来减少这种跨域的潜在问题,像通过限制WebView使用最少功能这样的措施。如果程序中的WebView不直接使用JavaScript,不要调用setJavaScriptEnabled。默认情况下,WebView不会执行跨站脚本JavaScript的执行。
检测步骤
- 反编译APK文件
- 扫描smali文件,查看应用是否调用了setJavaScriptEnabled方法,是则存在风险,否则安全。
检测结果
存在风险(发现4处)
结果描述
该应用存在WebView潜在跨站脚本攻击风险
检测详情
- 文件:
com/sina/weibo/sdk/web/WebActivity方法:protected onCreate(Landroid/os/Bundle;)V - 文件:
com/tencent/open/web/a方法:private static b(Landroid/webkit/WebSettings;)V - 文件:
io/dcloud/sdk/activity/WebViewActivity方法:private a(Landroid/webkit/WebView;)V - 文件:
io/dcloud/sdk/base/dcloud/d方法:public constructor <init>(Landroid/content/Context;)V
解决方案
开发者自查:
将WebSettings.setJavaScriptEnabled设置为false。即:settings.setJavaScriptEnabled(false)。
检测目的
检测应用是否允许Webview访问本地任意脚本
风险等级
高
检测依据
国家计算机网络应急技术处理协调中心旗下“国家信息安全漏洞共享平台”关联漏洞编号:CNVD-2017-36682; CNVD-2015-07628;CVE-2015-1302;CWE-79。
风险描述
Android使用Webview时可以使用setAllowFileAccess(boolean allow)方法禁用或允许webview加载本地文件,webview默认是允许加载本地文件的,如果没有对需要加载的脚本做校验,Webview将加载任意本地脚本,攻击者可使之加载恶意代码导致用户数据泄露等安全风险。值得注意的是setAllowFileAccess(boolean allow)方法只是禁用或允许webview对文件系统的访问,Assets和resources资源任然可以使用file:///android_asset和file:///android_res访问。
检测步骤
- 反编译APK文件
- 扫描smali文件,查找应用中调用了Webview的getSettings()的文件,在这些文件中查看是否调用了setAllowFileAccess(false)方法,是则安全,否则存在风险。
检测结果
存在风险(发现7处)
结果描述
该应用允许Webview访问本地任意脚本
检测详情
- 文件:
com/tencent/connect/auth/a方法:private d()V - 文件:
com/tencent/open/SocialApiIml方法:public writeEncryToken(Landroid/content/Context;)V - 文件:
com/tencent/open/TDialog方法:private b()V - 文件:
com/tencent/open/c/b方法:protected onAttachedToWindow()V - 文件:
com/tencent/open/d方法:private c()V - 文件:
io/dcloud/common/util/AppRuntime$1方法:public run()V - 文件:
io/dcloud/h/a/d/b/i方法:public static e(Landroid/content/Context;)Ljava/lang/String;
解决方案
开发者自查:
将WebSettings.setAllowFileAccess设置为false。即:WebSettings.setAllowFileAccess(false)。
回复 DCloud_Android_zl: 顺便问下哈,里面还有一个报密钥硬编码漏洞,这个文件的位置 com/zx/a/I8b7/p 看上去应该不是什么SDK报的,应该是项目里的对吧,这个能通过什么方式确定哪里报的吗?
哥,这个 “将WebSettings.setAllowFileAccess设置为false。即:WebSettings.setAllowFileAccess(false)。” uniapp怎么设置呢?
针对您提出的uni-app安全评估报告中提到的WebView存在潜在跨站脚本攻击(XSS)风险以及允许WebView访问本地任意脚本的问题,以下是一些具体的代码案例和防范措施,旨在提高应用的安全性。
1. 防止跨站脚本攻击(XSS)
问题概述: XSS攻击允许攻击者向应用程序注入恶意脚本,这些脚本能够在受害者的浏览器中执行。
防范措施:
-
输入验证与转义: 确保所有用户输入都经过严格的验证和转义,以防止恶意脚本的注入。
function sanitizeInput(input) { const div = document.createElement('div'); div.textContent = input; // 使用textContent设置内容,自动转义HTML return div.innerHTML; } -
Content Security Policy (CSP): 通过HTTP头设置CSP,限制可以执行的资源来源。
Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com
2. 限制WebView访问本地任意脚本
问题概述: 如果WebView允许访问本地任意脚本,攻击者可能利用这一漏洞执行未授权的代码。
防范措施:
-
白名单策略: 只允许加载白名单中的资源,使用
file://URL时应格外小心。function isAllowedUrl(url) { const allowedOrigins = ['https://trusted.example.com', 'file:///android_asset/safe_scripts/']; return allowedOrigins.some(origin => url.startsWith(origin)); } // 在WebView加载URL前检查 if (isAllowedUrl(urlToLoad)) { webview.loadUrl(urlToLoad); } else { console.error('Blocked URL:', urlToLoad); } -
使用WebView的内置安全机制: 对于Android,使用
WebViewClient和WebChromeClient来控制加载行为。webview.setWebViewClient(new WebViewClient() { @Override public boolean shouldOverrideUrlLoading(WebView view, String url) { if (isAllowedUrl(url)) { return false; // 允许WebView加载 } else { // 处理或阻止加载 return true; } } }); -
iOS WKWebView配置: 使用
WKNavigationDelegate来限制加载的URL。func webView(_ webView: WKWebView, decidePolicyFor navigationAction: WKNavigationAction, decisionHandler: [@escaping](/user/escaping) (WKNavigationActionPolicy) -> Void) { if isAllowedUrl(navigationAction.request.url?.absoluteString ?? "") { decisionHandler(.allow) } else { decisionHandler(.cancel) } }
通过以上措施,可以显著增强uni-app中WebView的安全性,降低XSS攻击风险和限制对本地脚本的未授权访问。请注意,这些代码示例需要根据您的具体项目环境进行调整和测试。
