平台打包版本5.15.6的APK被扫描出高危漏洞

需求 BUG 打包
shenlansoft
   2018-05-04 09:43:29发布 0收藏, 125浏览
应用安装部署
进行中
0

版本:V5.15.6.*

WebView组件应用克隆漏洞(高危)

 

代码路径:

com/fiberhome/gaea/client/html/view/ExmobiWebView.java

 

代码详情:

794        ((WebSettings)localObject3).setDefaultTextEncodingName("UTF-8");

795        ((WebSettings)localObject3).setJavaScriptEnabled(true);

796        ((WebSettings)localObject3).setAllowFileAccess(true);

797        ((WebSettings)localObject3).setDomStorageEnabled(true);

798        ((WebSettings)localObject3).setAllowFileAccessFromFileURLs(true);

799        ((WebSettings)localObject3).setSupportZoom(true);

800        ((WebSettings)localObject3).setUseWideViewPort(true);

801        if (supportmultiplewindows)

 

修复方案:

 

1.    File为未功能需求时修复方案

file域访问为非功能需求时,手动在Activity中配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false

(Android4.1版本之前这两个API默认是true,需要显式设置为false)

 

2.    File为功能需求时修复方案

若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过;

 

避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

 

建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息

运行平台及版本 : Android所有

1个回答

0

请自行在第三方应用加固平台加固apk

zhangyihui11@fiberhome
    2018-05-04 09:51:18回答

我要回答

下载APP
扫码下载栗子社区APP