Webview Attacks
WebView Yapılandırmaları ve Güvenlik Rehberi
WebView Açıklarının Genel Görünümü
Android geliştirmesinin kritik bir yönü, WebView'ların doğru bir şekilde yönetilmesidir. Bu rehber, WebView kullanımına ilişkin riskleri azaltmak için ana yapılandırmaları ve güvenlik uygulamalarını vurgulamaktadır.
WebView'larda Dosya Erişimi
Varsayılan olarak, WebView'lar dosya erişimine izin verir. Bu işlevsellik, Android API seviyesi 3 (Cupcake 1.5) itibarıyla mevcut olan setAllowFileAccess()
metodu ile kontrol edilir. android.permission.READ_EXTERNAL_STORAGE iznine sahip uygulamalar, dış depolamadan dosyaları dosya URL şeması (file://path/to/file
) kullanarak okuyabilir.
Kaldırılan Özellikler: Evrensel ve URL'lerden Dosya Erişimi
Dosya URL'lerinden Evrensel Erişim: Bu kaldırılan özellik, dosya URL'lerinden çapraz kökenli istekleri mümkün kılmakta olup, potansiyel XSS saldırıları nedeniyle önemli bir güvenlik riski taşımaktadır. Varsayılan ayar, Android Jelly Bean ve daha yeni sürümler için devre dışıdır (
false
).Bu ayarı kontrol etmek için
getAllowUniversalAccessFromFileURLs()
kullanın.Bu ayarı değiştirmek için
setAllowUniversalAccessFromFileURLs(boolean)
kullanın.Dosya URL'lerinden Dosya Erişimi: Bu özellik de kaldırılmıştır ve diğer dosya şeması URL'lerinden içerik erişimini kontrol etmiştir. Evrensel erişimde olduğu gibi, varsayılan ayarı güvenliği artırmak için devre dışıdır.
Kontrol etmek için
getAllowFileAccessFromFileURLs()
ve ayarlamak içinsetAllowFileAccessFromFileURLs(boolean)
kullanın.
Güvenli Dosya Yükleme
Varlıklara ve kaynaklara erişirken dosya sistemi erişimini devre dışı bırakmak için setAllowFileAccess()
metodu kullanılır. Android R ve üzeri sürümlerde varsayılan ayar false
'dır.
getAllowFileAccess()
ile kontrol edin.setAllowFileAccess(boolean)
ile etkinleştirin veya devre dışı bırakın.
WebViewAssetLoader
WebViewAssetLoader sınıfı, yerel dosyaları yüklemek için modern bir yaklaşımdır. Yerel varlıklara ve kaynaklara erişmek için http(s) URL'leri kullanır ve Aynı-Köken politikası ile uyumlu olup CORS yönetimini kolaylaştırır.
loadUrl
Bu, bir webview'de rastgele URL'leri yüklemek için kullanılan yaygın bir işlevdir:
Ofc, potansiyel bir saldırganın bir uygulamanın yükleyeceği URL'yi asla kontrol edememesi gerekir.
JavaScript ve Intent Şeması Yönetimi
JavaScript: WebView'larda varsayılan olarak devre dışı bırakılmıştır,
setJavaScriptEnabled()
ile etkinleştirilebilir. JavaScript'i uygun korumalar olmadan etkinleştirmenin güvenlik açıkları oluşturabileceği için dikkatli olunmalıdır.Intent Şeması: WebView'lar
intent
şemasını işleyebilir, dikkatli yönetilmezse istismar durumlarına yol açabilir. Bir örnek güvenlik açığı, çapraz site betikleme (XSS) saldırılarını gerçekleştirmek için istismar edilebilecek "support_url" adlı bir WebView parametresinin açığa çıkmasıyla ilgiliydi.
adb kullanarak istismar örneği:
Javascript Köprüsü
Android, JavaScript'in bir WebView içinde yerel Android uygulama fonksiyonlarını çağırmasını sağlayan bir özellik sunar. Bu, JavaScript'i yerel Android işlevleriyle entegre eden addJavascriptInterface
yönteminin kullanılmasıyla gerçekleştirilir ve buna WebView JavaScript köprüsü denir. Dikkatli olunması önerilir çünkü bu yöntem, WebView içindeki tüm sayfaların kayıtlı JavaScript Arayüz nesnesine erişmesine izin verir ve bu arayüzler aracılığıyla hassas bilgilerin ifşa edilmesi durumunda bir güvenlik riski oluşturur.
Aşırı dikkat gereklidir çünkü 4.2'nin altındaki Android sürümlerini hedefleyen uygulamalar için kötü niyetli JavaScript aracılığıyla uzaktan kod yürütme olanağı sağlayan bir zafiyet bulunmaktadır.
JavaScript Köprüsü Uygulaması
JavaScript arayüzleri, bir sınıf yönteminin JavaScript'e açıldığı örneklerde gösterildiği gibi, yerel kodla etkileşimde bulunabilir:
JavaScript Köprüsü, WebView'a bir arayüz ekleyerek etkinleştirilir:
JavaScript aracılığıyla potansiyel istismar, örneğin, bir XSS saldırısı yoluyla, açığa çıkarılmış Java yöntemlerinin çağrılmasını sağlar:
Riskleri azaltmak için, JavaScript köprü kullanımını APK ile gönderilen kodla sınırlayın ve uzaktan kaynaklardan JavaScript yüklenmesini engelleyin. Eski cihazlar için minimum API seviyesini 17 olarak ayarlayın.
Yansıma Tabanlı Uzaktan Kod Çalıştırma (RCE)
Belirli bir yükü çalıştırarak RCE elde etmeyi sağlayan belgelenmiş bir yöntem vardır. Ancak,
@JavascriptInterface
notasyonu yetkisiz yöntem erişimini engelleyerek saldırı yüzeyini sınırlar.
Uzaktan Hata Ayıklama
Uzaktan hata ayıklama, Chrome Geliştirici Araçları ile mümkündür ve WebView içeriğinde etkileşim ve keyfi JavaScript çalıştırma imkanı sağlar.
Uzaktan Hata Ayıklamayı Etkinleştirme
Uzaktan hata ayıklama, bir uygulama içindeki tüm WebView'lar için etkinleştirilebilir:
Uygulamanın hata ayıklanabilir durumuna bağlı olarak hata ayıklamayı koşullu olarak etkinleştirmek için:
Rastgele dosyaları dışarı aktarma
XMLHttpRequest kullanarak rastgele dosyaların dışarı aktarımını gösterir:
Referanslar
Last updated