对Webview跨源攻击的理解

首先是addJavascriptInterface漏洞：

　　有时候访问手机百度贴吧网页版本，网页上会有个按钮提示用手机应用打开。这种交互通常都是使用JS来实现，而WebView已经提供了这样的方法，具体用法如下：

　　向WebView注册一个名叫“jsInterface”的对象，然后在JS中可以访问到jsInterface这个对象，就可以调用这个对象的一些方法，最终可以调用到Java代码中，从而实现了JS与Java代码的交互。

　　This method can be used to allow Javascript to control the host application. This is a powerful feature, but also presents a security risk for applications targeted to API level JELLY_BEAN or below, because Javascript could use reflection to access an injected object‘s public fields.

　　在Jelly Bean之后，addJavascriptInterface这个方法已经被取消了，但如果想要兼容这之前的设备，还必须使用。

　　通过这个漏洞，Javascript可以访问SD卡上的文件。

　　JS中可以遍历window对象，找到存在“getClass”方法的对象的对象，然后再通过反射的机制，得到Runtime对象，然后调用静态方法来执行一些命令，比如访问文件的命令。

这样就可以执行一些command比如：

Alictf第三题便是要输入一个网址，点击那个网址可以调用那个addJavascriptInterface的第二个对象（上面对应的jsInterface），如果你知道了那个对象的名字和方法，就可以这样构造一个html：

把这个html命名为aa.html，放到sdcard上，输入file:///sdcard/aa.html，就会触发应用程序的showToast()方法。

或者不知道SmokeyBear这个对象，可以这样：

setJavascriptEnabled

通过此API可以设置是否允许WebView使用Javascript,默认是不允许，但很多应用，包括移动浏览器为了让WebView执行http协议中的Javascript，都会主动设置允许WebView执行Javascript，而又不会对不同的协议区别对待，比较安全的实现是如果加载的url是http或https协议，则启用Javascript,如果是其它危险协议，如是file协议，则禁用Javascript。禁用file协议的Javascript可以很大程度上减小跨源漏洞对WebView的威胁。

安全建议：

1.对于不需要使用file协议的应用，禁用file协议

2.对于需要使用file协议的应用，禁止file协议调用Javascript

腾讯实验室（http://security.tencent.com/index.php/opensource/detail/1）的解释：

漏洞原理：
在安卓WebView 组件中存在 addJavascriptInterface 方法，主要用于将Java类或方法导出以供Javascript调用。但是，Javascript在调用导出的Java类时，可通过反射执行任意JAVA代码。典型的攻击场景：通过受影响的app发送恶意构造页面的URL，用户点击打开URL后，会执行恶意代码。比如某安卓应用使用addJavascriptInterface 方法提供以下接口：

this.b.addJavascriptInterface(new fz(this, null), "js_class_name");

那么可构造恶意html页面，然后通过Javascript调用该接口来执行系统命令：

js_class_name.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);



修复方案：

1、如果无需与JS交互，请删除对addJavascriptInterface函数的调用；

2、在载入页面时对URL进行白名单判定，只有存在白名单中的域才允许导出或调用相关的Java类或方法；

 

它们给出的验证方案是用应用访问（http://security.tencent.com/lucky/check_tools.html）这个页面，它会给你提示是否有漏洞。

那个页面的中的算法是这样的：

也就是遍历window，查找「getClass」，看有没有反射调用的地方，有就提示。

除了addJavascriptInterface执行漏洞，还有UXXS漏洞：

通用型跨站脚本（UXSS，Universal Cross-Site Scfipting），主要是利用浏览器及插件的漏洞（比如同源策略绕过，导致A站的脚本可以访问B站的各种私有属性，例如COOKIE等）来构造跨站条件，以执行恶意代码。

参考：

http://blog.csdn.net/leehong2005/article/details/11808557

http://blogs.360.cn/360mobile/2014/09/22/webview%e8%b7%a8%e6%ba%90%e6%94%bb%e5%87%bb%e5%88%86%e6%9e%90/

http://bbs.pediy.com/showthread.php?t=192928&highlight=webview