WIKI

8.8 WebView不校验证书漏洞检测

(1)描述

Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露。

(2)风险等级

中危

(3)影响范围

所有

(4)检测方法

检测类型:静态分析

检测自定义实现的WebViewClient类在onReceivedSslError是否调用proceed()方法。

(5)修复建议

当发生证书认证错误时,采用默认的处理方法handler.cancel(),停止加载问题页面当发生证书认证错误时,采用默认的处理方法handler.cancel(),停止加载问题页面。

(6)案例分析

http://www.wooyun.org/bugs/wooyun-2010-0109266

(7)参考资料

https://jaq.alibaba.com/blog.htm?id=60

http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/