Android_WebView安全攻防指南2020.pdf

1.WebView攻击⾯ 2.WebView配置与使⽤ 3.WebViewURL校验 4.WebView安全防御 5.总结 WebView已成为Android App中最容易出现重大漏洞的薄弱环节。为此，本次峰会上，何恩基于自身漏洞挖掘所积累的丰富案例，对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲，开发者能了解到Android WebView最新的典型漏洞类型及其利用手法，从而获得安全编程方面的指南。 在Android应用程序开发中，WebView是不可或缺的一部分，它允许在应用内部加载和显示网页内容。然而，WebView也成为了安全问题的重灾区，因为它可能被攻击者利用来实施各种攻击。以下是一份详细的Android WebView安全攻防指南，涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**：在Android 4.4之前，系统中的JavaScriptInterface接口可通过反射调用来执行任意代码，这可能导致远程代码执行（RCE）。例如，CVE-2012-6636和CVE-2014-1939就是这类漏洞的实例。 - **URL校验不当**：如果未正确验证加载的URL，攻击者可以引导WebView加载恶意网站，从而控制用户界面或执行恶意操作。 - **文件访问权限**：如果不当配置WebView的`setAllowFileAccess`、`setAllowFileAccessFromFileURLs`和`setAllowUniversalAccessFromFileURLs`，攻击者可能窃取应用数据，如通过XMLHttpRequest访问私有文件（应用克隆攻击）。 - **Intent Scheme**：攻击者通过 deeplink（间接通过浏览器）可以触发特定的Intent，利用WebView进行恶意操作。 2. **WebView配置与使用** - **文件访问权限**：默认情况下，WebView允许文件访问，但为了安全起见，应关闭这些权限，避免文件泄露。 - **同源策略**：应谨慎使用宽松的同源策略，防止file域下的JavaScript访问其他文件或域。 - **恶意HTML/JS加载**：攻击者可能操纵WebView加载包含恶意代码的HTML或JS，如通过AJAX窃取文件。 3. **WebView URL校验** - **白名单校验**：实施严格的URL白名单策略，只允许WebView加载预定义的可信URL，防止加载未经验证的外部内容。 - **Intent Scheme校验**：对Intent Scheme进行验证，确保它们只能指向预期的行为，防止意外的intent触发。 4. **WebView安全防御** - **禁用JavaScriptInterface**：除非绝对必要，否则应禁用JavaScriptInterface，或者使用`@JavascriptInterface`注解并仅在需要的方法上使用，以限制接口暴露。 - **启用WebChromeClient和WebViewClient**：这两个类可以帮助监听加载过程，检测和处理异常情况。 - **HTTPS优先**：尽可能使用HTTPS加载内容，以确保通信的加密和完整性。 - **更新Chromium内核**：保持WebView组件的最新状态，以便修复已知的安全漏洞。 - **限制Cookie使用**：谨慎处理Cookie，防止敏感信息泄露或被利用进行跨站请求伪造（CSRF）攻击。 5. **总结** Android开发者应当认识到WebView的安全风险，并采取相应的防护措施。通过了解最新的WebView漏洞类型和利用手法，开发者可以更好地编写安全的代码，避免成为攻击的目标。持续学习和关注安全研究动态，对于提升移动应用的安全性至关重要。