也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大
少走了弯路,也就错过了风景,无论如何,感谢经历
0x01 前言
开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解
在Android应用的开发中,WebView用来显示远端或者应用本地的HTML页面,其在内部使用Chromium或WebKit引擎来渲染页面,并且支持前后导航,文本搜索等,也支持JavaScript等高级特性
Android WebView 是 Android 系统定义的一个的控件,其继承自 AbsoluteLayout,相当于一个微型的浏览器,可以用来显示网页、执行 JavaScript 等,代表了 Android 生态系统中使用最广泛的组件;它也受到最大数量的潜在错误的影响,在使用过程中会存在一些风险,导致APP被攻击者利用。如果存在漏洞,可以加载任意 URL 、执行攻击者控制的 JavaScript 代码、加载恶意代码,窃取用户信息,我们通常必须处理身份验证令牌的泄漏、任意文件的盗窃和对任意活动的访问,这也是可能会导致远程代码执行
Androi