MASTG-TEST-0253 WebView におけるローカルファイルアクセス API の実行時使用 (Runtime Use of Local File Access APIs in WebViews)
概要
このテストは WebView におけるローカルファイルアクセスへの参照 (References to Local File Access in WebViews) と対をなす動的テストです。
手順
Frida for iOS などの動的解析ツールを実行して、以下のいずれかを実行します。
アプリ内の
WebView
インスタンスを列挙して、その設定値をリストするまたは、
WebView
設定のセッターを明示的にフックする
結果
出力には WebView インスタンスと対応する設定のリストを含む可能性があります。
評価
不合格:
以下のすべてが当てはまる場合、そのテストは不合格です。
AllowFileAccess
がtrue
である。AllowFileAccessFromFileURLs
がtrue
である。AllowUniversalAccessFromFileURLs
がtrue
である。
注: AllowFileAccess
が true
であること自体はセキュリティ脆弱性を表すものではありませんが、他の脆弱性と組み合わせて使用することで攻撃の影響を拡大する可能性があります。したがって、アプリがローカルファイルにアクセスする必要がない場合は、明示的に false
を設定することをお勧めします。
合格:
以下のいずれかが当てはまる場合、そのテストは合格です。
AllowFileAccess
がfalse
である。AllowFileAccessFromFileURLs
がfalse
である。AllowUniversalAccessFromFileURLs
がfalse
である。
PreviousMASTG-TEST-0252 WebView におけるローカルファイルアクセスへの参照 (References to Local File Access in WebViews)NextMASTG-TEST-0258 UI 要素のキーボードキャッシュ属性への参照 (References to Keyboard Caching Attributes in UI Elements)
Last updated
Was this helpful?