攻击者有多少电话被强化?尤其是我们自己页面中的XSS漏洞,PhoneGap API暴露给未知的攻击者。PhoneGap是否安全?
例如,iPhone上的PhoneGap.exec()命令是否安全?
从JavaScript中,PhoneGap.exec
命令令我担心,例如, PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", [{"fields":fields, "findOptions":options}]);
(针对iPhone目标的JavaScript复制from here)。 exec命令理论上应该受到限制,并且只有能够访问PhoneGap API类(本例中为com.phonegap.contacts)和方法(例如本例中的搜索)。
如果我们的应用程序中存在XSS可调性,那么与仅在浏览器沙箱中运行相比,任何攻击者的攻击面都会扩大。最终用户的手机面临PhoneGap中的任何漏洞,可能允许攻击者访问特权的ObjectiveC代码/ api。我可以在PhoneGap安全was this上找到唯一的文档。
不是的PhoneGap /安全专家,但不管执行的应用程序在自己的安全沙箱中运行的所有iOS平台。这应该限制任何PhoneGap特定安全漏洞的暴露。 http://developer.apple.com/library/ios/#documentation/iphone/conceptual/iphoneosprogrammingguide/RuntimeEnvironment/RuntimeEnvironment.html – Perception
与Android相关 - 但可能相关:http://groups.google.com/group/ phonegap-dev/browse_thread/thread/1049124ad37abacb – robocat
以下是针对Skype的XSS攻击示例: http://www.theregister.co.uk/2011/09/20/skype_for_iphone_contact_theft/ – robocat