android webview 앱이 Eclipse를 사용하여 개발 한 XSS 취약점 경고

Question

자바 스크립트 코드를 사용하는 로컬 HTML 파일이 있습니다. 내 안드로이드 애플 리케이션을 위해 HTML 파일을로드하기 위해 webview를 사용하고 있습니다. 방금 응용 프로그램에 텍스트 내용을 표시합니다. 내 화면에는 탐색 또는 사용자 로그인이 없습니다.

로드 할 때 Java 코드에 setJavaScriptEnabled(true) 및 setWebViewClient을 사용하고 있습니다. setJavaScriptEnabled(true)을 사용하여 XSS 취약점에 대한 경고를받습니다.

다른 .js 또는 .css 파일 중 하나를 호출하지 않습니다.

내 애플리케이션에서 다른 웹 사이트를 호출하지 않습니다. 내 Android 앱이 저작권 침해로부터 충분히 안전합니까? 아니면 해커로부터 내 애플리케이션 코드를 보호하기위한 추가 코드 나 단계를 추가해야합니까? 제발 제안 해주세요.

Answer 1

너무 늦어 답변을 게시하십시오. 희망이 미래에 사람들에게 유용 할 수 있습니다.

Android webview는 Chrome이나 Firefox와 같은 최신 브라우저에서 사용되는 예방 메커니즘이 없기 때문에 크로스 사이트 스크립팅에 매우 취약합니다. Webview는 또한 Insecure Direct Object References 및 SQL Injection에 취약합니다.

XSS 취약성은 file : /// 명령을 사용하여 공유 기본 설정 파일에 액세스하는 데 사용하거나 smsJSInterface.launchSMSActivity를 사용하여 전화에서 원치 않는 SMS 메시지를 보낼 수 있습니다.

webview 용 javascript를 비활성화해야합니다. 그렇지 않으면 OWASP Java Encoder Project와 같은 XSS 필터 구성 요소를 사용하여 각 컨텍스트가 올바르게 이스케이프 처리되는지 확인하십시오.