MASTG-TEST-0253: 运行时在 WebView 中使用本地文件访问 API

概述

此测试是 WebView 中对本地文件访问的引用 的动态对应部分。

步骤

1. 运行像 用于 iOS 的 Frida 这样的动态分析工具，并且：
   • 枚举应用中 WebView 的实例，并列出它们的配置值
   • 或显式 Hook WebView 设置的 setter

观察

输出应包含 WebView 实例的列表以及相应的设置。

评估

失败

如果以下所有条件都为真，则测试失败

• AllowFileAccess 为 true。
• AllowFileAccessFromFileURLs 为 true。
• AllowUniversalAccessFromFileURLs 为 true。

注意：AllowFileAccess 为 true 本身并不代表安全漏洞，但它可以与其他漏洞结合使用，以扩大攻击的影响。因此，如果应用程序不需要访问本地文件，建议将其显式设置为 false。

通过

如果以下任何条件为真，则测试通过

• AllowFileAccess 为 false。
• AllowFileAccessFromFileURLs 为 false。
• AllowUniversalAccessFromFileURLs 为 false。

缓解措施

• 使用最新的 minSdkVersion
• 在 WebView 中安全加载文件内容
• 在 WebView 中禁用 JavaScript

演示

MASTG-DEMO-0031：使用 Frida 允许本地文件访问的 WebView 的使用