iOS abuse of URL Schemes

ไม่มีการป้องกันการใช้งาน “URL Schemes” บนเครื่อง “iOS” อย่างเพียงพอ

Vulnerability Assessment

อธิบาย (Description)

โปรแกรมมีการใช้งาน “URL Schemes” โดยปราศจาการป้องกันข้อมูลนำเข้า (Input validation) ส่งผลให้โปแกรมไม่ประสงค์ดีอาจเรียกใช้ “URL Schemes” เพื่อโจมตีเช่น การดึงข้อมูลส่วนบุคคลที่อยู่ในฐานข้อมูล “SQLi” การทำให้โปรแกรมใช้งานไม่ได้ (Buffer Overflow) เป็นต้น

ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)

  • ขึ้นอยู่กับช่องโหว่ที่มีอยู่ในโปรแกรม

วิธีแก้ไข (Solution)

  • ปิดช่องโหว่ที่เกี่ยวข้องโดยการตรวจสอบข้อมูลนำเข้าทั้งหมด (Input Validation) เช่น “Client-site injection” “Server injection” และ “Buffer Overflow”
  • เพื่อป้องกันการรับข้อมูลจากโปรแกรมที่ไม่ได้รับอนุญาตใช้งาน “URL Schemes” ให้จัดทำข้อมูลของ “BundleID” ที่อนุญาตให้ใช้งาน “URL Schemes” หรือที่เรียกว่า “White-lists” และตรวจสอบก่อนอนุญาตให้ใช้งาน

เพิ่มเติม

How to test the Security Decisions Via Untrusted Inputs – URL Scheme

ใส่ความเห็น