[车联网安全自学篇] Android安全之WebView攻防「基础篇」

已于 2022-09-27 18:03:54 修改
阅读量578 收藏
点赞数 1
分类专栏: 车联网安全自学篇之Android安全 文章标签: 网络安全 信息安全 渗透测试
于 2022-04-15 17:15:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/124199076
版权

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

0x01 前言

开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解

在Android应用的开发中,WebView用来显示远端或者应用本地的HTML页面,其在内部使用Chromium或WebKit引擎来渲染页面,并且支持前后导航,文本搜索等,也支持JavaScript等高级特性

Android WebView 是 Android 系统定义的一个的控件,其继承自 AbsoluteLayout,相当于一个微型的浏览器,可以用来显示网页、执行 JavaScript 等,代表了 Android 生态系统中使用最广泛的组件;它也受到最大数量的潜在错误的影响,在使用过程中会存在一些风险,导致APP被攻击者利用。如果存在漏洞,可以加载任意 URL 、执行攻击者控制的 JavaScript 代码、加载恶意代码,窃取用户信息,我们通常必须处理身份验证令牌的泄漏、任意文件的盗窃和对任意活动的访问,这也是可能会导致远程代码执行

Androi

了解本专栏 订阅专栏 解锁全文
橙留香Park
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Android_WebView安全攻防指南2020.pdf
08-11
1.WebView攻击⾯ 2.WebView配置与使⽤ 3.WebViewURL校验 4.WebView安全防御 5.总结 WebView已成为Android App中最容易出现重大漏洞的薄弱环节。为此,本次峰会上,何恩基于自身漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型及其利用手法,从而获得安全编程方面的指南
Android 防止webview 注入
JimTrency的博客
06-26 1383
现在android 4.2以上的版本,反正注入很简单,js交互函数加上@JavascriptInterface就ok,那低版本呢?其实很简单别把它想的很难。 说白了总体思路是:在网页没加载完前,注入自己写的js代码,然后在onJsPrompt() 通过反射,调取本地js交互的函数。那你会问onJsPrompt()在哪?这个函数有什么作用?1.首先这个函数是在WebChromeClient()下的一
Android安全开发之WebView中的地雷
09-21
Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行漏洞、跨域、密码明文保存等,这些安全问题可以直接导致用户敏感信息泄露,移动终端被恶意攻击者控制。下文将详细介绍这一系列安全问题,罗列相关的一些案列,并提供相应安全开发建议。
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
安全架构 Android_WebView安全攻防指南2020 - .net.zip
11-08
安全架构 Android_WebView安全攻防指南2020 - 系统安全 勒索软件 终端安全 安全漏洞 安全管理
Android WebView安全方面的一些坑
最新发布
yy1715713348的博客
01-16 914
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 879
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2524
Android中使用Webview SSL 自签名证书校验
Android 漏洞修复
Android格调小窝
08-01 1425
由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代码被执行,用户手机被安装木马程序,发送扣费短信,通信录或者短信被窃取,甚至手机被远程控制。在金融类或者通讯类app中可能会导致重要信息被窃取。webviewClient中有onReceivedError方法,当出现证书校验错误时,我们可以在该方法中使用handler.proceed()来忽略证书校验继续加载网页,或者使用默认的handler.cancel()来终端加载。..
Android APP之WebView如何校验SSL证书
如需功能开发提供开发说明,请发送邮件至[email protected]
06-24 733
请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;SSL错误的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码中加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
Android开发笔记之探秘WebView
01-05
概述:            一个显示网页的视图。这个类是你可以滚动自己的Web浏览器或在你的Activity中简单地显示一些在线内容的基础。它使用了WebKit渲染引擎来显示网页,包括向前和向后导航的方法(通过历史记录),放大和缩小,执行文本搜索等。          需要注意的是:为了让你的应用能够使用WebView访问互联网和加载网页,你必须添加Internet的权限在Android Manifest文件中: <uses android:name=android.permission.INTERNET> 类结构: java.lang.Object
Android程序开发之WebView使用总结
09-02
主要介绍了Android程序开发之WebView使用总结的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
AndroidWebView安全
laymenISmouse的专栏
01-30 749
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
Android 完美解决WebView缺陷
热门推荐
lcj235的博客
05-23 2万+
作为一名Android工程师,我们在使用Webview时候遇到过很多很多的坑,比如加载白屏,超时加载,卡顿等等,一系列的问题,每次在使用Webview的时候脑海中是不是出现过无数的草泥马。今天我们将从性能、内存消耗、体验、安全几个维度,来系统的分析客户端默认WebView的问题,以及对应的优化方案。彻底解决困扰在Android工程师面前的这个难题。1.性能问题打开速度比native慢对于一个普通用...
Android WebView常见问题及解决方案汇总
810364804
11-05 1067
如有转载,请声明出处: 时之沙:http://blog.csdn.net/t12x3456 Android WebView常见问题解决方案汇总: 就目前而言,如何应对版本的频繁更新呢,又如何灵活多变地展示我们的界面呢,这又涉及到了web app与native app之间孰优孰劣的争论. 于是乎,一种混合型的app诞生了,灵活多变的部分,如淘宝商城首页的活动页面,一集凡客诚品中我们都可以见到we...
Android安全开发之WebView中的大坑
zhangcanyan的博客
07-17 2万+
0X01 About WebView      在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行
阿里聚安全Webview安全攻防
自由人生
04-23 1407
背景:Webview安全风险之前一直没引起重视,直到addJavascriptInterface挂马漏洞拉开了Webview安全风险的序幕。由于Android版本的碎片化,导致Webview存在大量的Nday漏洞和安全风险。阿里聚安全专家将会对Webview存在的安全风险进行整理及防御方案探讨。 一、  UXSS漏洞攻击 Webview历史上存在大量的Nday漏洞,包括但不限于UXSS漏洞、远
修改android系统webview实现的方式,适用于兼容或者安全性测试。
深夜听表
05-20 9267
开端 虽然chrome已经占有了80%以上的市场份额,但也不排除出现一些不同版本的小兼容bug(比如这个超链接里的闪退例子)。 为了提前排除兼容问题或对于一些机型出现的bug我们需要复现时,为了模拟的比较一致有时候就要修改android系统webview实现方式。 操作方法 首先需要将你要添加的webview准备好 比如说以下几个ROM中常用包名 com.android.webview #很多aosp设备默认使用的,比如除手机之外的各种智能终端 com.google.android.webview
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8211
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
android studio 中使用webview
11-08
Android Studio中使用WebView可以实现在应用程序中显示网页。可以通过以下步骤在Android Studio中使用WebView: 1. 在XML布局文件中添加WebView组件。 2. 在Java代码中获取WebView组件的引用。 3. 使用WebView组件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值