WebSettings.setAllowFileAccess( ) & WebSettings.setJavaScriptEnabled( ) 关于WebView组件安全的整理:http://blog.yaq.qq.com/blog/10 一、API 1. 继承关系 【1】java.lang.Object 【2】android.webkit.WebSettings 2. 主要方法 【1】setAllowFileAccess(boolean allow) 设置是否允许访问WebView内部文件 默认为true 【2】setJavaScriptEnabled(boolean flag) 设置是否允许执行JS 默认为false 【3】参考链接 http://www.apihome.cn/api/android/WebSettings.html http://blog.alexwan1989.com/2016/01/21/Android:WebView开发笔记(二)/ https://developer.android.com/reference/android/webkit/WebSettings.html 二、触发条件 1. 调用getSettings方法,获取WebSettings对象 【1】对应到smali语句中的特征: Landroid/webkit/WebView;->getSettings()Landroid/webkit/WebSettings; 2. 调用WebSettings.setAllowFileAccess方法,设置setAllowFileAccess(true)或没有显示设置(默认为true) 【1】对应到smali语句中的特征: Landroid/webkit/WebSettings;->setAllowFileAccess(Z)V 判断对寄存器的赋值:const v1 0x1 3. 调用WebSettings.setJavaScriptEnabled方法,设置setJavaScriptEnabled(true) 【1】对应到smali语句中的特征: Landroid/webkit/WebSettings;->setJavaScriptEnabled(Z)V 判断对寄存器的赋值:const v1 0x1 三、漏洞原理 【1】应用程序一旦使用WebView,同时支持File域,并打开了对JavaScript的支持,就能利用JavaScript的延时执行,绕过file协议的同源检查,并能够访问应用程序的私有文件,导致敏感信息泄露 【2】参考链接 https://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.1.Tp61Qv&articleid=62 http://drops.wooyun.org/mobile/11263 四、修复建议 【1】对于不需要使用File协议的应用,禁用File协议,显式设置webView.getSettings().setAllowFileAccess(false) 【2】对于需要使用File协议的应用,禁止File协议调用JavaScript,显式设置webView.getSettings().setJavaScriptEnabled(false)