对于攻击者来说,手机屏幕的强化程度是多少?尤其是我们自己页面中的XSS漏洞,其中PhoneGap API暴露给未知的攻击者。
例如,iPhone上的PhoneGap.exec()命令安全吗?
从JavaScript,PhoneGap.exec命令让我担心,例如PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", [{"fields":fields, "findOptions":options}]);(用于iPhone目标的JavaScript已复制from here)。理论上应该限制exec命令,并且仅能够访问PhoneGap API类(本例中为com.phonegap.contacts)和方法(例如,在此示例中搜索)。
如果我们的应用程序中存在XSS可用性,则与仅在浏览器沙箱中运行相比,任何攻击者都具有扩展的攻击面。最终用户的手机暴露于PhoneGap中的任何漏洞,这些漏洞可能允许攻击者获得对特权ObjectiveC代码/ api的访问权限。我在PhoneGap安全was this上找到的唯一文档。
答案 0 :(得分:1)
您可以通过修改PhoneGap.plist / Plugins并删除任何不需要的API来控制API访问。
使用PhoneGap 1.1(即将推出) - 有一个白名单功能(在PhoneGap.plist / ExternalHosts中),只有某些外部网址可以连接到 - 在JavaScript或Objective-C中。
答案 1 :(得分:0)
这谈到了Cordova / PhoneGap安全问题:
http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt
"以下电子邮件于2013年12月13日发送至Apache Cordova / PhoneGap,并于2014年1月17日再次发送。 由于没有回应,我们会在此重新发布,以提醒公众 Apache Cordova / PhoneGap中固有的漏洞。"如果确实如此,我也会关注我。
在Android上,如果PhoneGap对网桥使用addJavascriptInterface(),则会产生严重的安全隐患:
http://www.droidsec.org/news/2014/02/26/on-the-webview-addjsif-saga.html