Эксперименты с WebView
Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.
Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?
Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.
И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁
#WebView #OAuth #Research
Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.
Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?
Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.
И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁
#WebView #OAuth #Research
Разнообразие уязвимостей в deeplink и Webview
Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.
В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)
Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁
#Android #Deeplink #Webview
Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.
В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)
Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁
#Android #Deeplink #Webview
Уязвимости в WebView
В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).
Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.
Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!
Спасибо @bagipro за прекрасный материал!
#Android #Oversecured #WebView #Bugs
В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).
Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.
Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!
Спасибо @bagipro за прекрасный материал!
#Android #Oversecured #WebView #Bugs
News, Techniques & Guides
Android security checklist: WebView
WebView is a web browser that can be built into an app, and represents the most widely used component of the Android ecosystem; it is also subject to the largest number of potential errors.
Ещё немного про WebView и ошибки при проверке URL
Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать!
Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида
В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно.
#Android #WebView
Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать!
Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида
url.startsWith и url.endsWith иногда бывает недостаточно для валидации ссылок, которые вы открываете в вашем приложении, вышла вот такая статья от автора фреймворка Medusa на базе Frida (кстати, довольно неплохой инструмент).В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно.
#Android #WebView
Атаки на клиентов с использованием WebView
Вообще статья называется "A View Into Web(View) Attacks in Android" и открывая ее, я ожидал увидеть информацию об атаках на WebView в приложениях и прочие интересные штуки, но оказалось это немного про другое.
В статье расписано, как некоторые зловреды использовали WebView, чтобы обмануть пользователя и украсть данные от банковских аккаунтов.
Все достаточно просто, пользователь загружает зловредное приложение и при его открытии внутри WebView загружается легитимный банковский сайт, но со зловредным JS-кодом, который отправляет данные пользователя на сервер злоумышленника. Подход очень простой и имеет ряд существенных преимуществ, не нужно самому имитировать интерфейс приложения, не нужны дополнительные разрешения у системы спрашивать.
Вообще, достаточно интересное чтиво, с примерами реальных зловредов и разбора их кода. Самое то почитать в пятницу 😄
#android #WebView #fishing
Вообще статья называется "A View Into Web(View) Attacks in Android" и открывая ее, я ожидал увидеть информацию об атаках на WebView в приложениях и прочие интересные штуки, но оказалось это немного про другое.
В статье расписано, как некоторые зловреды использовали WebView, чтобы обмануть пользователя и украсть данные от банковских аккаунтов.
Все достаточно просто, пользователь загружает зловредное приложение и при его открытии внутри WebView загружается легитимный банковский сайт, но со зловредным JS-кодом, который отправляет данные пользователя на сервер злоумышленника. Подход очень простой и имеет ряд существенных преимуществ, не нужно самому имитировать интерфейс приложения, не нужны дополнительные разрешения у системы спрашивать.
Вообще, достаточно интересное чтиво, с примерами реальных зловредов и разбора их кода. Самое то почитать в пятницу 😄
#android #WebView #fishing
Security Intelligence
A View Into Web(View) Attacks in Android
Unpack two effective attack techniques as it relates to financial malware in Android: the Web(View) injection attack and mobile cookie stealing.
Эксплуатация Android WebView при помощи Frida
Читая заголовок этой статьи от NowSecure, я надеялся на что-то крайнее интересное, как проверить все WebView на возможность загрузки произвольных URL, как через них получить файлы или вызвать выполнение кода через JS Interface и, конечно, советы по автоматизации.
Но реальность превзошла все ожидания! Такого я не ожидал...
А давайте-ка мы через Frida подменим адрес URL, который попадает в целевую вьюху и тогда он откроет нужную нам ссылку! А если на страничке будет JS-код, то он выполнится! 😄
Что-то конечно это забавно весьма. Но и полезное в статье есть, например использование ngrok. Тоже не божий дар, но удобно.
#Frida #android #ngrok #webview
Читая заголовок этой статьи от NowSecure, я надеялся на что-то крайнее интересное, как проверить все WebView на возможность загрузки произвольных URL, как через них получить файлы или вызвать выполнение кода через JS Interface и, конечно, советы по автоматизации.
Но реальность превзошла все ожидания! Такого я не ожидал...
А давайте-ка мы через Frida подменим адрес URL, который попадает в целевую вьюху и тогда он откроет нужную нам ссылку! А если на страничке будет JS-код, то он выполнится! 😄
Что-то конечно это забавно весьма. Но и полезное в статье есть, например использование ngrok. Тоже не божий дар, но удобно.
#Frida #android #ngrok #webview
Nowsecure
How to Exploit Android WebViews with Frida - NowSecure
This tutorial will analyze a very common Android WebView implementation to show how it’s susceptible to URL redirect, cross-site scripting (XSS) and internal code execution.
Эксплуатация уязвимостей в Deeplink и Webview
Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.
Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.
Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.
Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.
#android #deeplink #webview
Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.
Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.
Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.
Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.
#android #deeplink #webview
Justmobilesec
Deep Links & WebViews Exploitations Part I
This post focuses on finding, exploiting and understanding some common vulnerabilities in Android WebViews. Essential to this analysis are two key concepts: Static and Dynamic Analysis of Android Apps.