-
题名Cordova应用中跨域访问行为的识别与风险评估
被引量:2
- 1
-
-
作者
莫芊芊
张源
-
机构
复旦大学软件学院
-
出处
《计算机应用与软件》
北大核心
2020年第2期1-7,14,共8页
-
基金
国家自然科学基金项目(U1636204,U1836210,U1736208,U1836213)
国家重点基础研究发展计划项目(2015CB358800)
上海市青年科技英才扬帆计划项目(16YF1400800)。
-
文摘
混合开发模式已成为当下最流行的移动应用开发模式,其中Cordova应用是市场占有率最高的混合移动应用。Cordova应用中存在一种跨域访问的安全隐患。该问题在于Cordova框架提供了一种定制内置浏览器的能力,此项能力可以被恶意应用利用来操纵不属于自己的Web资源,从而危害用户数据的安全性。为了评估现实世界中Cordova应用的跨域访问问题,设计并实现了一个自动化工具COCAScanner。该工具能够批量化地检测Cordova应用中的跨域访问行为,并且评估这些行为的风险程度。实验分析了Google Play应用商城中的7791个Cordova应用,发现10.5%的应用存在跨域访问行为,其中13.1%的应用存在风险。最后结合人工分析发现了一个应用具有跨域窃取用户账号密码的恶意行为,以及多个应用具有向其他网站植入自己广告的高风险行为。
-
关键词
混合移动应用
跨域访问行为
静态分析
-
Keywords
Hybrid mobile application
Cross-origin access behavior
Static analysis
-
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
-
