2***@qq.com
2***@qq.com
  • 发布:2020-12-31 15:34
  • 更新:2021-04-01 09:39
  • 阅读:843

关于教育APP存在安全漏洞威胁的通知

分类:HBuilderX
                                                              APP 安全威胁统计表  
                                                 附件:APP 安全威胁统计表-安全漏洞  

序号 单位名称 备案号 APP 名称 威胁类型 数量


1 xxx限责任公司 已备案 xx移动客户端 ①WebView 跨域访问 2
②WebView File 域同源策略绕过风险检测

上面是北京市教育委员会发来的文件,要求整改。怎么解决上述安全问题呢。

2020-12-31 15:34 负责人:DCloud_Android_ST 分享
已邀请:
miskss

miskss - peter

你好,我们这边也遇到了这个问题,请问你那边解决了么?

柳玲叶

柳玲叶

WebView跨域访问漏洞我们这边也遇到了这个问题,请问这个您那边解决了吗?应该怎么处理

  • DCloud_Android_ST

    在哪监测的。我们了解下

    2021-04-06 15:29

  • Seasonli

    回复 DCloud_Android_ST: 您好,我们公司也出现了这个问题,要求20天内整改完毕,具体显示的是

    总共检测文件 11359 个,存在风险点 2 个。

    1.使用静态检测引擎对APK进行反编译。

    2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。

    第1处:

    文件:

    io.dcloud.common.adapter.ui.webview.SysWebView.java

    代码:

    .method public init()V invoke-virtual {v0, v2}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V

    第2处:

    文件:

    io.dcloud.feature.weex.adapter.webview.DCWXWebView.java

    代码:

    .method private initWebView(Landroid/webkit/WebView;)V invoke-virtual {v0, v1}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V

    2021-04-20 12:03

  • DCloud_Android_ST

    回复 Seasonli: 什么版本HX打包的 用3.1.10试试?

    2021-04-20 12:05

  • Seasonli

    回复 DCloud_Android_ST: 感谢回复!审核用的包是1月18日打包的,现在HX是3.1.7,请问这个版本已经修复了这个问题了吗?因为教育部下了最后的通牒,48小时内整改完毕,所以我们只有最后一次递交审核的机会。

    2021-04-20 12:11

  • nealtsiao

    回复 DCloud_Android_ST: 我也遇到同样的问题

    2021-04-20 21:33

  • Seasonli

    回复 DCloud_Android_ST: 您好,我使用了最新的HX3.1.9进行了打包,依然被检测出webview漏洞。

    总共检测文件 10923 个,存在风险点 2 个。

    1.使用静态检测引擎对APK进行反编译。

    2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。

    第1处:

    文件:

    io.dcloud.common.adapter.ui.webview.SysWebView.java

    代码:

    .method public init()V invoke-virtual {v0, v2}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V

    第2处:

    文件:

    io.dcloud.feature.weex.adapter.webview.DCWXWebView.java

    代码:

    .method private initWebView(Landroid/webkit/WebView;)V invoke-virtual {v0, v1}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V

    2021-04-21 09:45

  • DCloud_Android_ST

    回复 Seasonli: 用3.1.10再试下

    2021-04-21 10:43

  • Seasonli

    回复 DCloud_Android_ST: 用ALPHA版是吗?

    2021-04-21 10:58

  • DCloud_Android_ST

    回复 Seasonli: 是

    2021-04-21 14:55

  • 后浪

    回复 DCloud_Android_ST: 你好,我们安卓是离线打包,测出了这个问题,也是到最新版本吗

    2021-06-28 09:23

  • DCloud_Android_ST

    回复 后浪: https://ask.dcloud.net.cn/article/39020 看下这篇文章

    2021-06-28 11:02

该问题目前已经被锁定, 无法添加新回复