攻擊者有多少電話被強化?尤其是我們自己頁面中的XSS漏洞,PhoneGap API暴露給未知的攻擊者。PhoneGap是否安全?
例如,iPhone上的PhoneGap.exec()命令是否安全?
從JavaScript中,PhoneGap.exec
命令令我擔心,例如, PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", [{"fields":fields, "findOptions":options}]);
(針對iPhone目標的JavaScript複製from here)。 exec命令理論上應該受到限制,並且只有能夠訪問PhoneGap API類(本例中爲com.phonegap.contacts)和方法(例如本例中的搜索)。
如果我們的應用程序中存在XSS可調性,那麼與僅在瀏覽器沙箱中運行相比,任何攻擊者的攻擊面都會擴大。最終用戶的手機面臨PhoneGap中的任何漏洞,可能允許攻擊者訪問特權的ObjectiveC代碼/ api。我可以在PhoneGap安全was this上找到唯一的文檔。
不是的PhoneGap /安全專家,但不管執行的應用程序在自己的安全沙箱中運行的所有iOS平臺。這應該限制任何PhoneGap特定安全漏洞的暴露。 http://developer.apple.com/library/ios/#documentation/iphone/conceptual/iphoneosprogrammingguide/RuntimeEnvironment/RuntimeEnvironment.html – Perception
與Android相關 - 但可能相關:http://groups.google.com/group/ phonegap-dev/browse_thread/thread/1049124ad37abacb – robocat
以下是針對Skype的XSS攻擊示例: http://www.theregister.co.uk/2011/09/20/skype_for_iphone_contact_theft/ – robocat