《白帽子讲 Web 安全》之移动 Web 安全

原创 已于 2025-03-02 15:12:15 修改 · 置顶 · 1.2k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #安全 #移动web安全 #网络安全 #网络攻击模型 #web安全

于 2025-03-02 15:06:09 首次发布

目录

摘要

一、WebView 简介

二、WebView 对外暴露

WebView 对外暴露的接口风险

三、通用型 XSS - Universal XSS 介绍

四、WebView 跨域访问

五、与本地代码交互 js

5.1接口暴露风险:

5.2漏洞利用:

5.3JavaScript 与 Native 代码通信

六、Chrome 开发者工具可信根证书

七:纵深防御体系构建

7.1. WebView基础加固

7.2. 跨域访问控制矩阵

7.3. 安全交互协议设计

7.4. 证书安全增强

总结

摘要

在移动互联网飞速发展的当下,移动 Web 安全的重要性愈发凸显。《白帽子讲 Web 安全》对移动 Web 安全进行了详细阐述,为我们揭开了这一领域的神秘面纱。

一、WebView 简介

WebView 是移动端(如 Android、iOS)用于嵌入网页的核心,显示网页内容的组件允许开发者在原生应用中嵌入网页,实现混合应用开发,,允许应用内直接加载 Web 内容。其本质是一个轻量级浏览器,但默认安全配置较弱,容易成为攻击入口。

在 Android 系统中,WebView 基于 Chromium 内核,能加载并渲染 HTML、CSS 和 JavaScript 代码。

例如,许多新闻类应用通过 WebView 加载网页形式的新闻详情,电商应用利用 WebView 展示商品介绍页面等。它为开发者提供了便捷的方式,将 Web 技术与原生应用相结合,丰富应用功能和用户体验。

二、WebView 对外暴露

WebView 对外暴露的接口风险

WebView 对外暴露存在诸多安全隐患。由于 WebView 可以执行 JavaScript 代码,若应用对 WebView 的使用缺乏严格管控,恶意代码可能会利用 WebView 的漏洞进行攻击。

JavaScript 接口暴露:开发者可能通过 addJavascriptInterface 方法将本地 Java 对象暴露给 WebView 中的 JavaScript 代码。若未严格过滤输入,攻击者可利用反射机制调用敏感系统 API(如发送短信、读取文件)。

案例

1.某应用通过 WebView 调用 getUserInfo() 接口时,未校验调用来源,导致恶意网页可窃取用户数据。

2.攻击者可能通过构造恶意网页,在 WebView 加载该网页时,利用 JavaScript 代码获取应用内的敏感信息,如用户登录凭证、个人资料等。此外,若 WebView 被配置为允许执行任意来源的 JavaScript,攻击者还可能通过注入恶意脚本,控制 WebView 的行为,进而对整个应用造成损害。

三、通用型 XSS - Universal XSS 介绍

通用型 XSS(UXSS)是一种严重的安全漏洞。它不同于传统的 XSS(跨站脚本攻击),不受限于特定的网站或应用,而是能够在广泛的环境中利用 WebView 的漏洞进行攻击。

2022 年,Android 的 WebView 爆出 UXSS 漏洞,这一漏洞影响范围广泛。攻击者利用该漏洞,可通过精心构造的恶意网页,在用户使用搭载存在漏洞 WebView 的 Android 设备访问时,执行任意 JavaScript 代码。这意味着攻击者能够突破应用的安全边界,获取设备信息、篡改应用数据,甚至可能控制设备,对用户隐私和设备安全构成极大威胁。

防御措施

  • 及时更新 WebView 内核:使用最新 Chromium 内核的 WebView 版本,修复已知漏洞。
  • 禁用危险 API:如限制 eval() 函数、避免动态执行未签名脚本。

四、WebView 跨域访问

关键配置方法                   默认值   作用与风险场景                        
setA
最低0.47元/天 解锁文章
【瞎折腾日常】CentOS7终止维护,有什么平替的吗?
全糖少冰我吃不了苦
07-09 1605
【代码】【瞎折腾日常】CentOS7终止维护,有什么平替的吗?
centos停止更新?这篇博客教会你CentOS 7转化系统为阿里龙蜥Anolis OS 7
lz17267861157的博客
01-08 8246
本文将重点介绍如何将CentOS 7系统转化为Anolis OS 7,同时提供相关的配置和优化建议。通过本文,您将了解到整个转换过程中的关键步骤和注意事项,为您在实践中提供有价值的参考。让我们开始吧!
vault.centos.org 做为yum源的repo文件
12-29
CentOS 5 在2017-03-31日已经结束支持,不再提供维护更新,所以包括阿里云镜像、网易163等网站的文件可能都是过时或已经有部分文件缺失,无法用yum来安装应用软件。 1.只保留/etc/yum.repos.d/CentOS-Base.repo 其它文件 要么删除要么改后缀 2.编辑文件 /etc/yum.repos.d/CentOS-Base.repo ,将其中的 mirrors.aliyun.com/centos/$releasever 替换成相应历史源站地址和版本号,如 vault.centos.org/5.11 yum clean all && yum makecache
CentOS 7官方停止维护,OP们记得更换阿里yum源呦
别人笑我太疯癫,我笑他人看不穿。
08-18 4896
众所周知,CentOS 7 在2024年6月30号以后,官方就不再维护了,而且未来也不会出现9、10之类的版本,而是出了一个新的体系。很多yum源也陆续关掉了,现在不用阿里源就会直接报404,,这点就很不友好。第二步:下载阿里源,如果你换晚了,而且还没有yum上wget,浏览器访问路径可以直接下载,上传到节点就行。换源第一步:备份原来的repo文件,其实你可以直接删掉了,官方都关闭支持了,留着也没太大作用。
CentOS 7 官方支持和停止维护时间,目前已经停止维护
zhaoYuanJun_nb的博客
07-04 2276
在输出中查找 CentOS Linux release 7 相关信息,如果看到类似 Vault: EOL 的字样,说明系统已经停止维护。如果你需要延长系统的支持寿命,考虑升级到更新的操作系统版本,如 CentOS Stream 或者转换到其他支持更长期的发行版,如 Rocky Linux 或 AlmaLinux。如果系统提示 timedatectl 命令未找到,可能是因为你使用的是较旧的系统或者系统中缺少 timedatectl 工具。2024年6月30日后,CentOS 7 将不再提供更新和支持。
Centos-vault-8.5.2111.repo
10-16
Centos-vault-8.5.2111.repo
Centos-6-Vault-Aliyun.repo
03-04
Centos-6-Vault-Aliyun.repo
https://vault.centos.org/6.6/os/i386/repodata/repomd.xml: [Errno 14] problem making ssl connection
weixin_43117143的博客
12-19 4048
CentOS-Base.repo里面的 mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra 这个属性注释掉 baseurl=https://mirrorlist.centos.org/centos/$releasever/os/$basearch/ $releasever这个一定要改系统对应版本 https://mirrors.
怎么centos8使用vault.centos.org代替mirror.centos.org
11-13
CentOS 8中,如果你想使用`vault.centos.org`作为替代镜像源,特别是当你在国外或者需要更快的下载速度时,可以采取以下步骤来替换默认的`mirror.centos.org`: 1. **备份现有配置**:首先,备份你的当前`/etc/...
CentOS7在2024.6.30停止维护后,可替代的Linux操作系统
为无为,事无事,味无味。
06-21 6890
Linux的发行版本可以大体分为两类,一类是商业公司维护的发行版本,一类是社区组织维护的发行版本,前者以著名的Redhat(RHEL)为代表,后者以Debian为代表。国内占有率最多的却是Centos,这是由其特殊的生态位置所决定的。CentOS Linux 是一个 GNU/Linux 发行版,它使用商业红帽企业 Linux 操作系统的源代码构建并与之兼容。2024年之前,国内服务器上选择CentOS的比比皆是。
CentOS 7 即将停止维护
热门推荐
yimaoya的博客
06-22 2万+
CentOS 7 即将停止维护
CentOS 8 停维后 CentOS 7 也将停止维护,我们将何去何从?
云储储的博客
07-06 6429
CentOS 8 2021年底停止维护CentOS 6 2020年底停止维护CentOS 7 也已于 2020 年底结束整体性更新,暂定计划于 2024 年 6 月底结束维护性更新
CentOS 5里使用 vault.centos.org 作为yum源
小刚刚技术博客
07-12 2013
开发十年,就只剩下这套架构体系了! >>> ...
【问题解决】centos7已经不维护了,如何继续使用yum源?
拾级而上
04-22 885
解决centos7在线安装依赖,提示源不可用的问题
CentOS 7 停止维护后如何平替你的生产系统?
RAB
10-05 6748
CentOS 7 停止维护后如何平替你的生产系统?
CentOS 7 yum源配置失败解决方案:使用官方存档源vault.centos.org
最新发布
芝士味椒盐的博客
06-28 773
最近在配置CentOS 7服务器时遇到了yum源无法正常工作的问题,按照阿里云官方镜像教程配置后依然出现连接超时和502错误。经过测试发现,使用CentOS官方存档源是最稳定可靠的解决方案。通过使用CentOS官方存档源,可以彻底解决CentOS 7的yum源配置问题。一次配置,长期使用:无需频繁更换镜像源稳定可靠:官方维护,不会出现服务异常完整支持:包含所有必需的软件包和更新简单易行:只需替换baseurl配置即可对于仍在使用CentOS 7的用户,这是目前最佳的yum源解决方案。
聊聊CentOS停止维护,要我说这是件大好事!
zhangyanfei01的专栏
03-28 5837
大家好,我是飞哥!相信大家都听说过CentOS即将停止维护的事。今天就这件事,我来聊聊我的看法。我认为这在国内的技术圈内是个利大于弊的好消息。关于这件事,可能大部分同学还都只是粗浅地吃过1-2次瓜而已,并没有搞懂其中的缘由。其背景是这样的。在过去的很长一段时间里,国内绝大部分互联网公司的服务器上所安装的操作系统都是总部位于美国北卡州红帽公司的CentOS。据统计,CentOS在服务器领域的占有率高...
Centos 停止维护解决方案
toutuopang的博客
02-07 1万+
Centos 停止维护解决方案
centos7停止维护后更换yum源教程
网络管理员
08-09 725
*
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值