昨晚实在太无聊了。。跑去乌云的文章:http://drops.wooyun.org 看了几篇文章。看到了个android uxss的文章随后我就试试手机的firefox浏览器谁知道不行。。接着我就试了下手机自带的浏览器。。OK。。接着。。发生以下的血案
文章社区中有个在线测试是否存在uxss漏洞。这里我也就贴上代码给大家自己测试下呗。。
这个代码不是我原创的哈。。别喷。。
于是我们收集了一些命中率较高的POC来验证到底哪些app更靠谱一些。
https://code.google.com/p/chromium/issues/detail?id=37383
https://code.google.com/p/chromium/issues/detail?id=90222
https://code.google.com/p/chromium/issues/detail?id=98053
https://code.google.com/p/chromium/issues/detail?id=117550
https://code.google.com/p/chromium/issues/detail?id=143437
https://code.google.com/p/chromium/issues/detail?id=143439
你看。。多神的一个话题。。由于我没钱啊。。所以用的手机很菜。。你看街边这么多拿着低版本安卓系统的用户。。随意窃取信息不成问题了。。
构造了个窃取本地信息的poc
test.html
然后再构造个test.js:
由于我找不到手机自带浏览器所以看不到这个结果。。不然。。呵呵!相应app私有目录/data/data/packagename/下文件
厂商(仅供参考):
1、服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。详见:http://drops.wooyun.org/papers/104
2、客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见:setAllowFileAccess(boolean)
3、客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。详见[onPageStarted (WebView view, String url, Bitmap favicon)][8]
4、客户端对iframe object标签属性进行过滤。
用户:
1、使用漏洞较少的app,及时更新app。
2、不要随意打开一些莫名其妙的链接。
3、有钱你就买新手机吧,android L马上出来了。(可以通过google play推送安全补丁,呵呵)
0x05 利用
(此部分考虑到影响并未第一时间放出,现在漏洞已经被忽略,在此更新)