基于权限控制和脚本检测的Webview漏洞防护方案研究

doi:10.3969/j.issn.1671-1122.2015.03.008

信息网络安全 ›› 2015, Vol. 15 ›› Issue (3): 38-43.doi: 10.3969/j.issn.1671-1122.2015.03.008

基于权限控制和脚本检测的Webview漏洞防护方案研究

叶嘉羲, 张权(), 王剑

国防科学技术大学电子科学与工程学院,湖南长沙 410073

收稿日期:2015-01-15 出版日期:2015-03-10 发布日期:2015-05-08
作者简介:
作者简介：叶嘉羲（1991-）,男,浙江,硕士研究生,主要研究方向：现代通信技术;张权（1974-）,男,上海,副教授,主要研究方法：现代通信技术;王剑（1975-）,男,湖南,副教授,主要研究方向：通信网络安全与对抗。

An Webview Vulnerability Protection Based On Access Control And Script Detection

Jia-xi YE, Quan ZHANG(), Jian WANG

College of Electronic and Engineer, National University of Defense Technology, Changsha Hunan 410073, China

Received:2015-01-15 Online:2015-03-10 Published:2015-05-08

摘要/Abstract

摘要：

文章通过研究Webview漏洞的形成机理,获悉漏洞是由程序调用了不安全的系统API且未对Java反射机制进行防范而产生的。目前,Webview漏洞的检测方法主要是基于黑盒测试思想,准确率不高。文章提出了一种结合静态分析和动态分析的检测方法：通过静态分析对不安全函数进行定位,通过动态分析对不安全函数进行测试,能有效、精确地检测出Webview漏洞。同时,文章研究了Google公司提出的Webview漏洞防护方案,指出该方案存在的三大防护缺陷,并提出了一种基于权限控制和脚本检测的漏洞防护方法,该方法通过权限控制严格限制了访问者的权限上限,并及时向用户反馈情况;通过脚本检测区别出安全脚本和恶意脚本,在未削弱Webview组件能力的前提下,提高了漏洞防护能力。最后,文章设计了一组实验,对比了未添加Webview防护的程序和添加了Webview防护的程序对恶意代码的执行结果,证实该防护方法的有效性。

关键词: Android系统, Webview漏洞, 检测, 防护

Abstract:

This paper studies the formation mechanism of the Webview vulnerability, and learns that the vulnerability arises from the unsafe function’ invoking and did not defend java reflection on the program. At present, Webview vulnerability detection method is mainly based on black box testing, which is at low accuracy. This paper proposes a detection combined of static analysis and dynamic analysis: static analysis can carry out where is the unsafe function, and dynamic analysis can make a test on the unsafe function, in that way the Webview vulnerability can be detected effectively and accurately. At the same time, this paper studies the Webview vulnerability protection proposed by Google, and pointed out that there exits three defects in Google’s defend. So this paper proposes a vulnerability defend based on access control and script detection, the defend is strict with the visitors’ authority limit, timely responding to the user and makes use of script detection to distinguish the security scripts and malicious script, putting an end to the Webview vulnerability without any ability weaken. Finally, this paper designs a set of experiment, comparing the undefended program and the defend programs, the result shows that the protection is valid.

Key words: android system, Webview vulnerability, detection, defend

中图分类号:

TP309

叶嘉羲, 张权, 王剑. 基于权限控制和脚本检测的Webview漏洞防护方案研究[J]. 信息网络安全, 2015, 15(3): 38-43.

Jia-xi YE, Quan ZHANG, Jian WANG. An Webview Vulnerability Protection Based On Access Control And Script Detection[J]. Netinfo Security, 2015, 15(3): 38-43.

图/表 7

参考文献 14

[1]	周莉婕,雷友珣. Android操作系统浏览器安全漏洞的分析[J]. 软件,2013, 34(5): 107-111.
[2]	吴欢. 基于WebKit的嵌入式浏览器移植和扩展技术[D]. 华中科技大学, 2013.
[3]	Chin E M.Helping Developers Construct Secure Mobile Applications[D]. UNIVERSITY OF CALIFORNIA, BERKELEY, 2013.
[4]	Luo T, Hao H, Du W, et al.Attacks on WebView in the Android system[C]. ACM, 2011.
[5]	Neugschwandtner M, Lindorfer M, Platzer C.A View to a Kill: WebView Exploitation.[C]. 2013.
[6]	孙巍,徐学东,徐学军. Java反射机制在可重构Web框架中的应用[J]. 计算机工程与应用,2005, 41(36): 92-94.
[7]	徐尤华,熊传玉. Android 应用的反编译[J]. 电脑与信息技术, 2012, 20(1): 50-51.
[8]	Chin E, Wagner D.Bifocals: Analyzing WebView Vulnerabilities in Android Applications[Z]. Springer, 2014138-159.
[9]	Vance A.Times Web Ads Show Security Breach[Z]. 2009.
[10]	腾讯大数据. 2014年第二季度移动行业数据报告[R].2014.
[11]	Hay R, Amit Y.Android browser cross-application scripting[R]. CVE-2011-2357, IBM Rational Application Security Research Group, 2011.
[12]	Bhavani A B. Cross-site Scripting Attacks on Android WebView[J]. arXiv preprint arXiv:1304.7451. 2013.
[13]	丰生强. Android软件的破解技术[Z].北京: 人民邮电出版社, 2013265-309.
[14]	腾讯大数据. 2014年第一季度移动行业数据报告[R].2014.

[1]	王蓉, 马春光, 武朋. 基于联邦学习和卷积神经网络的入侵检测方法[J]. 信息网络安全, 2020, 20(4): 47-54.
[2]	边玲玉, 张琳琳, 赵楷, 石飞. 基于LightGBM的以太坊恶意账户检测方法[J]. 信息网络安全, 2020, 20(4): 73-80.
[3]	赵志岩, 纪小默. 智能化网络安全威胁感知融合模型研究[J]. 信息网络安全, 2020, 20(4): 87-93.
[4]	顾兆军, 任怡彤, 刘春波, 王志. 基于一致性预测算法的内网日志检测模型[J]. 信息网络安全, 2020, 20(3): 45-50.
[5]	罗文华, 许彩滇. 基于改进MajorClust聚类的网络入侵行为检测[J]. 信息网络安全, 2020, 20(2): 14-21.
[6]	吕宗平, 赵春迪, 顾兆军, 周景贤. 基于Stacking模型融合的勒索软件动态检测算法[J]. 信息网络安全, 2020, 20(2): 57-57.
[7]	张浩, 陈龙, 魏志强. 基于数据增强和模型更新的异常流量检测技术[J]. 信息网络安全, 2020, 20(2): 66-74.
[8]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[9]	李晓冉, 郝蓉, 于佳. 具有数据上传管控的无证书可证明数据持有方案[J]. 信息网络安全, 2020, 20(1): 83-88.
[10]	宋鑫, 赵楷, 张琳琳, 方文波. 基于随机森林的Android恶意软件检测方法研究[J]. 信息网络安全, 2019, 19(9): 1-5.
[11]	康健, 王杰, 李正旭, 张光妲. 物联网中一种基于多种特征提取策略的入侵检测模型[J]. 信息网络安全, 2019, 19(9): 21-25.
[12]	陈里可, 阮树骅, 陈兴蜀, 王海舟. 社交媒体机器人账号智能检测研究[J]. 信息网络安全, 2019, 19(9): 96-100.
[13]	冯文英, 郭晓博, 何原野, 薛聪. 基于前馈神经网络的入侵检测模型[J]. 信息网络安全, 2019, 19(9): 101-105.
[14]	陈良臣, 刘宝旭, 高曙. 网络攻击检测中流量数据抽样技术研究[J]. 信息网络安全, 2019, 19(8): 22-28.
[15]	饶绪黎, 徐彭娜, 陈志德, 许力. 基于不完全信息的深度学习网络入侵检测[J]. 信息网络安全, 2019, 19(6): 53-60.

基于权限控制和脚本检测的Webview漏洞防护方案研究

An Webview Vulnerability Protection Based On Access Control And Script Detection

RichHTML

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 14

相关文章 15

编辑推荐

Metrics

本文评价