APP 安全威胁统计表
附件:APP 安全威胁统计表-安全漏洞
序号 单位名称 备案号 APP 名称 威胁类型 数量
1 xxx限责任公司 已备案 xx移动客户端 ①WebView 跨域访问 2
②WebView File 域同源策略绕过风险检测
上面是北京市教育委员会发来的文件,要求整改。怎么解决上述安全问题呢。
2 个回复
miskss - peter
你好,我们这边也遇到了这个问题,请问你那边解决了么?
柳玲叶
WebView跨域访问漏洞我们这边也遇到了这个问题,请问这个您那边解决了吗?应该怎么处理
DCloud_Android_ST
在哪监测的。我们了解下
2021-04-06 15:29
Seasonli
回复 DCloud_Android_ST: 您好,我们公司也出现了这个问题,要求20天内整改完毕,具体显示的是
总共检测文件 11359 个,存在风险点 2 个。
1.使用静态检测引擎对APK进行反编译。
2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。
第1处:
文件:
io.dcloud.common.adapter.ui.webview.SysWebView.java
代码:
.method public init()V invoke-virtual {v0, v2}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V
第2处:
文件:
io.dcloud.feature.weex.adapter.webview.DCWXWebView.java
代码:
.method private initWebView(Landroid/webkit/WebView;)V invoke-virtual {v0, v1}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V
2021-04-20 12:03
DCloud_Android_ST
回复 Seasonli: 什么版本HX打包的 用3.1.10试试?
2021-04-20 12:05
Seasonli
回复 DCloud_Android_ST: 感谢回复!审核用的包是1月18日打包的,现在HX是3.1.7,请问这个版本已经修复了这个问题了吗?因为教育部下了最后的通牒,48小时内整改完毕,所以我们只有最后一次递交审核的机会。
2021-04-20 12:11
nealtsiao
回复 DCloud_Android_ST: 我也遇到同样的问题
2021-04-20 21:33
Seasonli
回复 DCloud_Android_ST: 您好,我使用了最新的HX3.1.9进行了打包,依然被检测出webview漏洞。
总共检测文件 10923 个,存在风险点 2 个。
1.使用静态检测引擎对APK进行反编译。
2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。
第1处:
文件:
io.dcloud.common.adapter.ui.webview.SysWebView.java
代码:
.method public init()V invoke-virtual {v0, v2}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V
第2处:
文件:
io.dcloud.feature.weex.adapter.webview.DCWXWebView.java
代码:
.method private initWebView(Landroid/webkit/WebView;)V invoke-virtual {v0, v1}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V
2021-04-21 09:45
DCloud_Android_ST
回复 Seasonli: 用3.1.10再试下
2021-04-21 10:43
Seasonli
回复 DCloud_Android_ST: 用ALPHA版是吗?
2021-04-21 10:58
DCloud_Android_ST
回复 Seasonli: 是
2021-04-21 14:55
后浪
回复 DCloud_Android_ST: 你好,我们安卓是离线打包,测出了这个问题,也是到最新版本吗
2021-06-28 09:23
DCloud_Android_ST
回复 后浪: https://ask.dcloud.net.cn/article/39020 看下这篇文章
2021-06-28 11:02