취약한 웹 뷰 구현

■ 취약한 웹 뷰 구현

웹 뷰는 안드로이드 개발 시 주로 웹 브라우저에서 보이는 화면을 표시하거나 웹 애플리케이션 혹은 하이브리드 애플리케이션을 개발할 때 사용된다. 웹 뷰는 안드로이드 내부 모듈인 웹킷 렌더링 엔진을 사용해 자바스크립트를 지원하여 UI 또는 패킷에서 자바스크립트 코드가 강제적으로 실행되게 함으로써 다른 사용자의 중요 정보를 탈취하는 취약점으로 크로스 사이트 스크립팅 공격과 유사하다.

 

먼저 WebView가 쓰여지는 부분을 찾아서 확인을 한다.

ViewStatement.java

ViewStatementr 화면에서 Webview를 사용하고 있음으로 Transfer에서 간단한 스크립트 구문을 삽입하여 전송을 해본다.

ViewStatement 화면에서 확인해보니 스크립트 구문이 필터링 없이 서버에 저장되어 동작하는 걸 확인할 수 있다.

■ 대응방안

WebView을 설정하는 부분에서 setJavaScriptEnabled 메소드를 false로 설정을 하거나 자바스크립트 코드를 실행하지 못하도록 필터링하는 구문을 삽입하여 막는다.