Android WebView中存在的安全漏洞

最新推荐文章于 2024-09-02 11:15:00 发布
最新推荐文章于 2024-09-02 11:15:00 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: # Android基础知识 文章标签: android webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigfc/article/details/123886411
版权

开发中常见且需要注意的WebView安全漏洞和解决方案

1.解决 CVE-2014-1939 漏洞

Android 4.4 之前版本webkit中内置了"searchBoxJavaBridge_"接口。攻击者可以通过访问searchBoxJavaBridge_接口利用该漏洞执行任意代码。

解决方案:

webView.removeJavascriptInterface("searchBoxjavaBridge_");
2.解决 CVE-2014-7224 漏洞

Android 4.4之前的版本webview内置导出"accessibility"和"accessibilityTraversal"两个JavaObject接口,可以被利用实现远程任意代码执行。

解决方案:

webView.removeJavascriptInterface("accessibility");
webView.removeJavascriptInterface("accessibilityTraversal");
3.解决 WebView File域同源策略绕过漏洞

应用程序一旦使用webview并支持File域,就会受到该漏洞的攻击。该漏洞源于:JavaScript的延时执行能够绕过file协议的同源检查,并能够访问受害应用的所有私有文件。

解决方案:

setting.setAllowFileAccess(false);
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN) {
    setting.setAllowFileAccessFromFileURLs(false);
    setting.setAllowUniversalAccessFromFileURLs(false);
}
4.解决 WebView 密码存储漏洞

Android系统中WebView默认开启密码了保存功能,密码没有加密的被保存到了/data/data/<包名>/databases/webview.db 中。

解决方案:

//关闭密码保存提醒功能,不保存密码
setting.setSavePassword(false);
5.解决CVE-2012-6636漏洞

远程攻击者可通过使用Java Reflection API 利用该漏洞执行任意Java对象的方法。

解决方案:
Google 在4.2 版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解。低于4.2的版本,我们不能再调用addJavascriptIntetface方法。
我们通过Js中的prompt与Android应用进行通信:

public final boolean onJsPrompt(WebView view, String url, String message,
        String defaultValue, JsPromptResult result) {             
    return super.onJsPrompt(view, url, message, defaultValue, result);
}

参考文章:Android WebView 安全漏洞解决方案

大脸猫6_6
关注
专栏目录
AndroidWebView安全
laymenISmouse的专栏
01-30 858
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
WebView安全漏洞问题
qq_27623401的博客
02-17 605
一、WebView常见的一些坑        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。          2、webview在布局文件的使用:webview写在其他容...
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 930
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbViewaddJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
WebView漏洞:网络安全的隐秘威胁
最新发布
Unity打怪升级
09-02 1110
随着移动应用的普及,WebView成为了应用不可或缺的组件之一。它允许开发者在应用内嵌入网页,为用户提供丰富的内容和交互体验。然而,WebView的广泛应用也带来了新的安全挑战。本文将探讨WebView漏洞的类型、成因以及如何防范这些漏洞。
AndroidWebView安全漏洞问题
qq_30885821的博客
03-18 460
参考: https://blog.csdn.net/carson_ho/article/details/64904635 https://blog.csdn.net/qq_42014702/article/details/100899046 https://blog.csdn.net/feather_wch/article/details/82292061 webview常见的坑 (任意命令执行漏洞) API <= 16时,WebView.addJavascriptInterface()有安全
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
AndroidWebView安全漏洞解决方案.docx
10-26
**CNNVD 描述**:Google Android API 在 16.0 及之前的版本存在安全漏洞,未正确限制 WebView 的 `addJavascriptInterface` 方法,允许远程攻击者通过载入特制 JavaScript 代码执行任意 Java 对象的方法。...
Android_WebView安全攻防指南2020.pdf
08-11
以下是一份详细的Android WebView安全攻防指南,涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**:在Android 4.4之前,系统的...
Android WebView安全方面的一些坑
yy1715713348的博客
01-16 1163
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
android操作系统浏览器安全漏洞
12-11
android浏览器存在很多漏洞,本文对此进行介绍
WebView 的常见的安全漏洞
challenge51all的专栏
08-16 476
例如,假设一个应用通过 WebView 展示用户生成的评论,如果不对评论内容进行清理和编码,恶意用户可能在评论插入 XSS 脚本。不安全的证书验证:如果 WebView 没有正确验证服务器证书,可能导致与不安全的服务器建立连接,造成数据泄露。输入验证和清理:对用户输入到 WebView 的数据进行严格的验证和清理,去除可能包含的恶意脚本代码。编码输出:对从服务器端传递到 WebView 的数据进行适当的编码,防止恶意脚本的注入。头来限制网页可以加载的资源类型和来源,减少潜在的攻击面。
Webview漏洞的说明
zenglanjing的博客
02-06 395
Webview在增加app功能与体验性的同时也我们带来了安全隐患,作为一名程序猿,保证app的信息安全是我们的职责。因此这篇文章可能对你了解webview的安全隐患有一定的帮助,赶快来看看吧……
Android webview(三) addJavascriptInterface的安全问题
weixin_33919950的博客
05-11 333
2019独角兽企业重金招聘Python工程师标准>>> ...
Android--webview 漏洞 解析
Navan
05-30 1489
1、webview远程代码执行漏洞: 漏洞详情: addJavascriptInterface存在高危远程代码执行漏洞,应尽量避免使用,API 17用@JavascriptInterface 代替addjavascriptInterface;移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,accessibilityTravers
WebView使用漏洞
gengbaolong的博客
08-13 1174
WebView 坑 漏洞
Android Webview 漏洞复现
比格沃斯的博客
12-02 999
Andoid Webview 漏洞复现前言触发条件漏洞原理漏洞复现1. 运行环境2.1 webview介绍2.2 漏洞核心代码2.3 JS攻击核心代码2.4 效果展示 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞。该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法。 总结起来说,就是通过addJavascriptInterface
Android WebView安全讨论
com360的专栏
08-11 5434
Android WebView安全问题相信大家都遇到过,今天我专门开一个帖子和大家讨论一下如何 正确的对待WebView的安全问题。我提出的解决方式也许不是最好的,可能还会有很多其他的更好的解决方案,我在这里也仅仅是抛砖引玉,希望大家能提出更好的解决方案出来,能让大家在讨论都能获益。 下面我先抛出两个WebView的主要问题 (1)关于Javacript和Java通信的桥的问题。 (
Android WebView远程代码执行漏洞详解与影响
Android API级别16及以下版本由于缺乏有效的安全防护措施,存在一个显著漏洞,即WebView.addJavascriptInterface方法的滥用可能导致远程攻击者通过Java反射API执行任意本地Java代码,从而实现恶意操控。此漏洞首次...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值