脆弱性対策体験

サンプルアプリの修正が完了したら、以下の手順に従って脆弱性が修正されたかどうか確認してみましょう。

サンプルアプリの実行

以下の手順に従ってサンプルアプリを実行します。
  • 修正したサンプルアプリをインストールおよび実行
    脆弱性対策方法を基に修正したサンプルアプリを端末にインストールして実行します。
    本アプリはサンプルアプリのため、アプリ内のassetsフォルダからHTMLファイルを読み込むよう実装しています。
    そのため、脆弱性対策後は、SSL通信以外の通信と、自社コンテンツのサーバへの接続以外をエラーとするため、アプリは起動しなくなります。
    ここでは、攻撃アプリから細工されたJavaScriptを含むHTMLを読み込まないようになっていることを確認する事により、脆弱性対策が正しく行われたことを確認します。

攻撃アプリの実行

脆弱性対策が正しく行われたか、攻撃アプリを再度実行してみましょう。
端末(またはエミュレータ)のアプリ一覧画面(ドロワー)上で、攻撃アプリのアイコン「09社内WEBログインスパイ」をタップし、攻撃アプリを起動します。
  • 攻撃アプリの起動

結果の確認

攻撃アプリの実行結果を確認してみましょう。
サンプルアプリは攻撃を検知して終了するように修正されているため、以下の画面が一瞬表示された後にドロアー画面に戻ります。
これで端末内の情報が盗み出されていない事が分かります。
  • 実行結果の確認


これで、JavascriptInterfaceの理解不足についての学習は終了です。