MASTG-TEST-0251: 运行时在 WebView 中使用内容提供者访问 API

概述

此测试是 WebView 中内容提供器访问的引用 的动态对应项。

步骤

1. 运行动态分析工具，例如 iOS 版 Frida 并执行以下操作之一：
   • 枚举应用程序中的 WebView 实例并列出其配置值
   • 或明确钩住 WebView 设置的 setter 方法

观察

输出应包含 WebView 实例及其相应设置的列表。

评估

失败

如果以下所有条件都为真，则测试失败

• JavaScriptEnabled 为 true。
• AllowContentAccess 为 true。
• AllowUniversalAccessFromFileURLs 为 true。

您应该使用 WebView 中内容提供器访问的引用 中获得的内容提供器列表来验证它们是否处理敏感数据。

注意： AllowContentAccess 为 true 本身不代表安全漏洞，但它可以与其他漏洞结合使用，以升级攻击的影响。因此，如果应用程序不需要访问内容提供器，建议明确将其设置为 false。

通过

如果以下任何条件为真，则测试通过

• JavaScriptEnabled 为 false。
• AllowContentAccess 为 false。
• AllowUniversalAccessFromFileURLs 为 false。

缓解措施

• 在 WebView 中安全加载文件内容
• 在 WebView 中禁用 JavaScript
• 在 WebView 中禁用内容提供器访问

演示

MASTG-DEMO-0030: 使用 Frida 允许内容访问的 WebView