MASWE-0073: 不安全的 WebResourceResponse 实现

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此漏洞尚未创建，它是一个占位符。但您可以查看其状态或自行开始处理。如果该问题尚未被分配，您可以请求分配给自己，并按照我们的指南提交包含新内容的 PR。

查看 MASWE-0073 的 GitHub 问题

初始描述或提示

使用 WebResourceResponse 而不是 WebViewAssetLoader

相关主题

• 由于 WebResourceResponse 可能会提供攻击者控制的 HTML/JS，因此在内容未正确净化时，它会启用 XSS (CWE-79)。
• 如果应用在 WebView 上下文中通过 XHR 暴露任意文件，则可能会泄露私有数据 (CWE-200)。
• 受保护的内部领域（如应用私有存储）的数据或文件被暴露给信任度较低的领域，例如 WebView 的 JavaScript 上下文或外部网站 (CWE-669)。

参考资料

• https://blog.oversecured.com/Android-Exploring-vulnerabilities-in-WebResourceResponse/

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。