突然间的疑惑,JS注入该怎么预防呢?

最近在给测试同学做一个客户端自动登录的功能,实现的方式是通过hook原生webiew,对登录SDK的HTML页面进行JS注入来实现的。虽然需求是实现了,但回想了下就背后发凉。如果有人用这种JS注入的方式进行攻击,该怎么防御呢?简单查了下前端的安全问题,XSS之类的攻击方式,但都貌似跟这种JS注入方式不太一样,不知道有没有熟悉前端的大神,可以帮忙科普一下,THX!

HTTPS 传输 + 文件验签 + 域名白名单可以有效防止代码注入和 WebView RCE。本地注入根证书和代码注入这种攻击链路几乎无法对外实施,可以忽略。

感谢大佬指教,至于本地代码注入的方式,想想也是,外部人员想要实施很难,除非分发重签包

文件验签 白名单不都可以同过hook拿到?

讨论的是攻击场景,在普通的攻击场景下你没法 Hook 别人的代码,所以 Hook 基本上只能自娱自乐,不能直接构成危害。

非越狱机而且是在用户手上基本上都是没什么办法的,这种场景哪里需要讨论。。。
不就是应该讨论APP本身的安全吗

比如同过hook js直达目标UI 方便分析, 薅薅羊毛,分析分析app协议什么的

非越狱当然有办法,要不然为啥会有这么多 SRC 接收无线端的漏洞。

Surge自带JS注入 这玩意在防剧透上取得了显著的效果

额 你不是说了那些防护方式吗 难道做了还有办法在非越狱的用户手机上搞事情?

嗯,凡事都有两面性,有很多 bypass 方案。比如扫码和 App 内点击打开的域名白名单,可以利用域内 redirect 漏洞绕过,或者找白名单算法的漏洞,再或者找白名单内任意站点的漏洞。

1 Like

一波广告毫无违和感 :crazy_face:

的发开我是不件软个这好你