Android静态安全检测 -> WebView明文存储密码

最新推荐文章于 2021-12-30 16:08:17 发布
最新推荐文章于 2021-12-30 16:08:17 发布
阅读量9.3k 收藏 2
点赞数 2
分类专栏: 【Android静态安全检测】 文章标签: Android安全 WebView明文存储密码 setSavePassword
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013107656/article/details/51690821
版权

WebView明文存储密码 -WebSettings.setSavePassword方法

一、API


1. 继承关系


【1】java.lang.Object

【2】android.webkit.WebSettings


2. 主要方法


【1】setJavaScriptEnabled(boolean flag):是否支持js


【2】setPluginsEnabled(boolean flag):是否支持插件


【3】setSavePassword(boolean save):是否保存密码


【4】其他方法

参考链接:http://www.apihome.cn/api/android/WebSettings.html

二、触发条件


1. 调用getSettings方法,获取WebSettings对象


【1】对应到smali语句中的特征:;->getSettings()Landroid/webkit/WebSettings;


2. 调用WebSettings.setSavePassword方法,设置setSavePassword(true)或没有显示设置(默认为true)


【1】对应到smali语句中的特征:

  Landroid/webkit/WebSettings;->setSavePassword(Z)V

  判断对寄存器的赋值:const v1 0x1

三、漏洞原理


【1】在使用WebView的过程中忽略了WebView setSavePassword,当用户选择保存在WebView中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的密码,造成用户的个人敏感数据泄露


【2】参考链接:http://wolfeye.baidu.com/blog/webview-setsavepassword/

四、修复建议


【1】使用WebView.getSettings().setSavePassword(false)来禁止保存密码

4lwin
关注
专栏目录
Android代码-Android-X5WebView基本封装
08-06
Android-X5WebView基本封装和使用 通过OkHttp拦截器、自定义CookieJar有效完成客户端与H5端的Cookie同步管理 监听WebView的加载进度 滚动条的设置(隐藏或者显示,内侧显示还是外侧显示) 优化X5WebView的预加载问题...
Android 关于WebView加载H5禁用记住密码对话框
qq_33209777的博客
08-31 774
记住密码弹窗
Android webview记住账号密码
kang995066277的博客
03-17 7427
好累,不想说话。private void syncCookie(String url) { try{ CookieSyncManager.createInstance(this); CookieManager cookieManager = CookieManager.getInstance();
android webview 保存登录状态,【分享】webview如何自动登录保存登录信息
weixin_39885166的博客
05-26 751
用户名密码登录验证后保存Session// 你的URLHttpPost httppost = new HttpPost(Constants.ServerUrl.WEB_URL + url);try {List nameValuePairs = new ArrayList(2);// Your DATAnameValuePairs.add(new BasicNameValuePair("UserNa...
android组件导出权限,安卓打包 Webview远程代码执行漏洞、Webview明文存储密码风险、组件导出风险...
weixin_42657024的博客
05-25 885
1.Webview远程代码执行漏洞【风险等级】高风险【漏洞描述】WebviewAndroid用于浏览网页的组件,其包含的接口函数addJavascriptInterface可以将Java类或方法导出以供JavaScript调用,实现网页JS与本地JAVA的交互。由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代...
android-system-webview-7703.apk
11-30
Android8.0以下手机自带的android-system-webview版本过低使用
cordova-plugin-ionic-webview:用于Cordova的Web View插件,专门用于Ionic应用程序
05-04
注意:此存储库及其文档适用于cordova-plugin-ionic-webview @ 5.x ,它使用的新功能可能不适用于所有应用程序。 请参阅和 2.x文档可以在找到。 :open_book: 文档: : :megaphone: 支持/问题? 有关常规支持...
Android-Using-WebView:使用WebViewAndroid App
05-13
使用Eclipse 将复制到剪贴板文件->导入-> Git /来自Git的项目->克隆URI 从剪贴板粘贴URI(如果未自动显示) Next> Next>选中“克隆子模块” Next>选择“导入现有项目”使用Android Studio 遵循建筑指示的前三行。...
解决React-Native的WebView不支持Android选择图片和拍照
08-31
然而,由于React Native的WebView组件与原生Android系统的交互限制,有时会出现无法从Android设备的相册或相机选择图片并上传的问题。这个问题可能会导致用户体验下降,因为用户无法充分利用手机的功能。本文将深入...
vue-bridge-webview:javascript bridge androidios webview
02-06
javascript bridge android / ios webview 安装 浏览器 [removed][removed] [removed][removed] 包装经理 npm install vue-bridge-webview --save import Vue from ' vue ' import VueBridgeWebview f
Android逆向-frida hook 脚本- hook webview
最新发布
08-17
Android逆向-frida hook 脚本- hook webview。 frida hook webview的loadurl方法,获取加载的地址和调用链。 Java.choose 获取到webview的对象,可以主动调用webview的方法。
Android高级应用源码-Android webView和js交互的Demo.zip
10-14
这个"Android高级应用源码-Android webView和js交互的Demo.zip"是一个实例,演示了如何在Android应用中集成WebView并实现JavaScript与Android原生代码的交互。通过这种交互,开发者可以充分利用JavaScript的灵活性和...
Android高级应用源码-自定义WebView,自带加载动画.zip
10-14
Android高级应用源码-自定义WebView,自带加载动画.zip
react-native-web-webview:React Native用于RN的WebViewWeb实现
05-17
react-native-web-webview React Native用于RN的WebViewWeb实现 入门 $ npm install react-native-web-webview --save 别名打包您的webpack配置中: resolve: { alias: { 'react-native': 'react-native-web...
Android安全测试用例(网络资源学习记录)
天在等我,菜鸟想飞
12-30 7227
数字签名检测 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify APK 文 件 路 径 -verbose –certs 当输出结果为“jar 已验证”时,表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 如上图,说明测试结果为安全。 要说明的是,只有在使用直接客户的证书签名时,才认为安全。 Debug 证书、第三方(如 开发方)证书等等均认为风险。 反编译检测 把 apk 当成 zip
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 913
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
webkitgtk密码保存功能简单实现
zhangzhenghe的专栏
10-13 1290
webkitgtk网页密码保存功能实现(应用WebKit-r86000.tar.bz2, http://builds.nightly.webkit.org/files/trunk/src/WebKit-r86000.tar.bz2) 由于客户需要实现浏览器保存网页“登录密码
Android复习05【网络编程---WebView获取文章信息、保存用户名与密码、设置菜单样式、收藏文章列表】
upward
05-23 2438
网络访问-思维导图 玩Android网站---查看登录Cookie 适配器相关设置 点击文章列表-进行页面跳转 WebView布局控件 给ListView添加点击事件处理---传递页面链接 在ReadActivity中接收参数 在WebView中打开链接 WebView无法加载---更换镜像 隐藏标题栏 效果展示 登录成功---保存用户名、密码【可能要考】 自动登录 强制登录 不登录,不许使用App 添加菜单 新建菜单文件夹 添加 菜单资源 设置菜单样式 设置菜单图标 收藏文章列表 服务器端收藏文章
mainframe= ui->webView->page()->mainFrame();作用
05-31
这行代码的作用是获取QWebView对象中的QWebFrame对象,并且获取该QWebFrame对象所属的QWebPage对象的主框架(main frame)。 具体来说,ui->webView是一个QWebView对象的指针,它是通过Qt Designer创建的用户界面中的一个Web浏览器控件,用于显示Web页面。通过调用ui->webView的page()方法可以获取到QWebPage对象的指针,QWebPage是QWebView的后端实现,用于管理和渲染Web页面。然后通过调用QWebPage对象的mainFrame()方法,可以获取到当前Web页面中的主框架,即QWebFrame对象的指针。 获取到QWebFrame对象的指针之后,可以通过QWebFrame对象的一些方法和属性来操作或查询Web页面中的内容,例如: 1. load(QUrl url):加载指定URL的Web页面。 2. setHtml(QString html, QUrl baseUrl = QUrl()):加载指定HTML内容的Web页面。 3. evaluateJavaScript(QString scriptSource):在当前框架中执行JavaScript代码。 4. setUrl(QUrl url):设置当前框架的URL。 5. toPlainText():获取当前框架的文本内容。 6. setScrollBarPolicy(Qt::Orientation orientation, Qt::ScrollBarPolicy policy):设置当前框架的滚动条策略。 7. setHtml(QString html, QUrl baseUrl = QUrl()):加载指定HTML内容的Web页面。 通过对QWebFrame对象的操作,可以实现一些高级的Web应用程序。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值