对于广大的开发者而言，WebView和URL Scheme并不陌生。WebView一直以来都是iOS的核心组件，而URL Scheme是iOS APP重要的接口之一。

目前，移动客户端业务需求及开发模式变更越来越多采用WebView渲染页面，不仅开发成本低，而且易维护。

但缺点也十分明显，主要体现在WebView可以实现的功能十分有限，绝大多数系统API无法直接调用，开发者为了增加WebView功能，不得不添加多个 js 与 Native 代码交互接口，系统 API 仍由 Native 代码进行调用；通过这些接口访问那些Js无法访问的资源，比如摄像头、文件系统和NFC等等。

随着功能增加，需要更多应用间的通信和调用，开发者会注册一个到多个URL Scheme以保证程序间的通信及相互跳转，与此同时程序也增加更多的外部可访问接口。安全隐患随之接踵而来。

在通过审计大量移动iOS APP后，张一峰先生发现由于URL Scheme和JSBridge接口设计不当，会导致如远程Cookie窃取，代码执行、远程沙箱任意文件上传等漏洞。

而且由于目前接口安全性研究较少，已有的研究也主要集中在Android系统，忽略了iOS 应用的安全性。

来自长亭科技的安全研究员张一峰先生将在本次2019 SDC峰会上，首次披露 iOS APP URL Scheme和JSBridge接口导致的安全漏洞，并在议题中会详细介绍漏洞成因和防御。

嘉宾简介