MASTG-TEST-0251: Uso em Tempo de Execução de APIs de Acesso a Content Provider em WebViews
Visão Geral¶
Este teste é a contraparte dinâmica do Referências a Content Provider Access em WebViews.
Passos¶
- Execute uma ferramenta de análise dinâmica como Frida para iOS e:
- enumere as instâncias de
WebViewno aplicativo e liste seus valores de configuração - ou conecte explicitamente os métodos setters das configurações do
WebView
- enumere as instâncias de
Observação¶
A saída deve conter uma lista de instâncias de WebView e as configurações correspondentes.
Avaliação¶
Falha:
O teste falha se todas as seguintes condições forem verdadeiras:
JavaScriptEnabledestá comotrue.AllowContentAccessestá comotrue.AllowUniversalAccessFromFileURLsestá comotrue.
Você deve usar a lista de provedores de conteúdo obtida no Referências a Content Provider Access em WebViews para verificar se eles lidam com dados sensíveis.
Nota: AllowContentAccess estar como true não representa por si só uma vulnerabilidade de segurança, mas pode ser usado em combinação com outras vulnerabilidades para escalar o impacto de um ataque. Portanto, é recomendado defini-lo explicitamente como false se o aplicativo não precisar acessar provedores de conteúdo.
Aprovação:
O teste é aprovado se qualquer uma das seguintes condições for verdadeira:
JavaScriptEnabledestá comofalse.AllowContentAccessestá comofalse.AllowUniversalAccessFromFileURLsestá comofalse.
Mitigations¶
- Carregar Conteúdo de Arquivo com Segurança em um WebView
- Desativar JavaScript em WebViews
- Desativar Acesso a Content Provider em WebViews
Demos¶
MASTG-DEMO-0030: Usos de WebViews Permitindo Acesso a Conteúdo com Frida