WebView常见漏洞修复

最新推荐文章于 2024-08-16 10:34:04 发布
最新推荐文章于 2024-08-16 10:34:04 发布
阅读量688 收藏
点赞数
分类专栏: WebView
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coder0408/article/details/103844440
版权

一、WebView中,主要漏洞有三类

  • 任意代码执行漏洞
  • 密码明文存储漏洞
  • 域控制不严格漏洞
    二、具体分析

2.1 WebView任意代码执行漏洞

出现该漏洞的三个:

  • WebView中addJavascriptInterface()接口
  • WebView 内置导出的 searchBoxJavaBridge_对象
  • WebView 内置导出的 accessibility 和 accessibilityTraversalObject 对象

2.1.1 WebView中addJavascriptInterface()接口

A.漏洞产生原因

JS调用Android的addJavascriptInterface接口进行对象映射:

 webView.addJavascriptInterface(new JSObject(), "myObj");
// 参数1:Android的本地对象
// 参数2:JS的对象
// 通过对象映射将Android中的本地对象和JS中的对象进行关联,从而实现JS调用Android的对象和方法

原因:在Android早期版本中并没有对可以访问的方法做限制,当JS拿到java对象后,就可以利用Java反射机制,调用任意对象的任意方法,如获取系统类(java.lang.Runtime类)

如可以执行命令获取本地设备SD卡中的文件等信息从而造成信息泄露

  • WebView 添加 Javascript 对象,并且添加一些权限,比如想要获取 SD 卡上面的信息就需要 android.permission.WRITE_EXTERNAL_STORAGE

  • JS 中可以遍历 window对象,找到存在 getClass 方法的对象,再通过反射的机制,得到 Runtime 对象,然后就可以调用静态方法来执行一些命令,比如访问文件的命令;

  • 从执行命令后返回的输入流中得到字符串,比如执行完访问文件的命令之后,就可以得到文件名的信息了

function execute(cmdArgs)  
{  
    for (var obj in window) {  
        if ("getClass" in window[obj]) {  
            alert(obj);  
            return  window[obj].getClass().forName("java.lang.Runtime")  
                 .getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);  
        }  
    }  
}

漏洞解决

4.2以上的版本规定够被调用的函数必须添加@JavascriptInterface进行注解

4.2以下的版本解决方法

  • 通过重写WebView中addJavascriptInterface 方法,然后在内部自己维护一个对象映射关系的 Map,当调用 addJavascriptInterface 方法,将需要添加的 JS 接口放入这个 Map 中;
    -每次当 WebView 加载页面的时候加载一段本地的 JS 代码:
avascript:(function JsAddJavascriptInterface_(){
//XXX表示注入对象的方法的名字,终端和Web端按照定义的格式去相互调用即可
    if(typeof(window.XXX_js_interface_name)!='undefined'){
            console.log('window.XXX_js_interface_name is exist!!');
        }else{
           window.XXX_js_interface_name={
                   XXX:function(arg0,arg1){
                   //在prompt中返回我们约定的字符串,包含了特定的标识符MyApp,后面包含了一串JSON字符串,它包含了方法名,参数,对象名等。当JS调用XXX方法的时候,就会调用到终端Native层的OnJsPrompt方法中,我们在解析出方法名,参数,对象名等
                     return prompt('MyApp:'+JSON.stringify({obj:'XXX_js_interface_name',func:'XXX_',args:[arg0,arg1]}));
                 },
            };
        }
    })

还有一个问题是什么时候加载这段 JS 呢,在 WebView 正常加载 URL 的时候去加载它,但是会发现当 WebView 跳转到下一个页面时,之前加载的 JS 可能就已经无效了,需要再次加载,所以通常需要在以下几个方法中加载 JS,这几个方法分别是 onLoadResource,doUpdateVisitedHistory,onPageStarted,onPageFinished,onReceivedTitle,onProgressChanged。
需要过滤的方法为Object类中定义的方法

2.2密码明文存储漏洞

WebView 默认开启密码保存功能 mWebView.setSavePassword(true),如果该功能未关闭,在用户输入密码时,会弹出提示框,询问用户是否保存密码,如果选择”是”,密码会被明文保到 /data/data/com.package.name/databases/webview.db 中,这样就有被盗取密码的危险,所以需要通过 WebSettings.setSavePassword(false) 关闭密码保存提醒功能。

2.3域控制不严格漏洞

了解WebView 中 file 协议的安全性,先看一个Demo, WebViewActivity

public class WebViewActivity extends Activity {
    private WebView webView;
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_webview);
        webView = (WebView) findViewById(R.id.webView);
        
        //webView.getSettings().setJavaScriptEnabled(true);                  
        //webView.getSettings().setAllowFileAccess(false);                   
        //webView.getSettings().setAllowFileAccessFromFileURLs(true);         
        //webView.getSettings().setAllowUniversalAccessFromFileURLs(true); 
        
        Intent i = getIntent();
        String url = i.getData().toString(); //url = file:///data/local/tmp/attack.html 
        webView.loadUrl(url);
    }
 }

当其他应用启动此 Activity 时, intent 中的 data 直接被当作 url 来加载(假定传进来的 url 为 file:///data/local/tmp/attack.html ),通过其他 APP 使用显式 ComponentName 或者其他类似方式就可以很轻松的启动该 WebViewActivity ,我们知道因为 Android 中的 sandbox,Android 中的各应用是相互隔离的,在一般情况下 A 应用是不能访问 B 应用的文件的,但不正确的使用 WebView 可能会打破这种隔离,从而带来应用数据泄露的威胁,即 A 应用可以通过 B 应用导出的 Activity 让 B 应用加载一个恶意的 file 协议的 url,从而可以获取 B 应用的内部私有文件,下面我们着重分析这几个 API 对 WebView 安全性的影响。

  • setAllowFileAccess
    WebSetting中的方法setAllowFileAccess(boolean allow),Android中的注释如下:

Enables or disables file access within WebView. File access is enabled by
default. Note that this enables or disables file system access only.
Assets and resources are still accessible using file:///android_asset and
file:///android_res.

这个Api可以设置是否允许WebView使用File协议,Android中默认setAllowFileAccess(true)允许访问,在File域下,能够执行任意JavaScript代码同源策略跨域访问则能够对私有目录文件进行访问, APP嵌入的WebView未对file:///形式的URL做限制,常见泄露:

  • 使用file 域加载的js能够使用同源策略跨域访问导致隐私信息泄露
  • 针对IM类软件会导致聊天信息、联系人等等重要信息泄露
  • 针对浏览器类软件,则更多的是cookie信息泄露
    如果不允许使用 file 协议,则不会存在上述的威胁;

解决方案

对于不需要
setAllowFileAccess(false)来禁止加载file协议类文件

  • setAllowFileAccessFromFileURLs

通过此API可以设置是否允许通过 file url 加载的 Javascript 读取其他的本地文件,这个设置在 JELLY_BEAN(android 4.1) 以前的版本默认是允许,在 JELLY_BEAN 及以后的版本中默认是禁止的。当 AllowFileAccessFromFileURLs 设置为 true 时,对应上面的 attack.html 代码为:

<script>
function loadXMLDoc()
{
    var arm = "file:///etc/hosts";
    var xmlhttp;
    if (window.XMLHttpRequest)
    {
        xmlhttp=new XMLHttpRequest();
    }
    xmlhttp.onreadystatechange=function()
    {
        //alert("status is"+xmlhttp.status);
        if (xmlhttp.readyState==4)
        {
              console.log(xmlhttp.responseText);
        }
    }
    xmlhttp.open("GET",arm);
    xmlhttp.send(null);
}
loadXMLDoc();
</script>

当设置成为 false 时,上述JS的攻击代码执行会导致错误,表示浏览器禁止从 file url 中的 javascript 读取其它本地文件

  • setAllowUniversalAccessFromFileURLs()

通过此 API 可以设置是否允许通过 file url 加载的 Javascript 可以访问其他的源,包括其他的文件和 http,https 等其他的源。这个设置在 JELLY_BEAN 以前的版本默认是允许,在 JELLY_BEAN 及以后的版本中默认是禁止的。如果此设置是允许,则 setAllowFileAccessFromFileURLs 不起做用,此时修改 attack.html 的代码:

<script>
function loadXMLDoc()
{
    var arm = "http://www.so.com";
    var xmlhttp;
    if (window.XMLHttpRequest)
    {
        xmlhttp=new XMLHttpRequest();
    }
    xmlhttp.onreadystatechange=function()
    {
        //alert("status is"+xmlhttp.status);
        if (xmlhttp.readyState==4)
        {
             console.log(xmlhttp.responseText);
        }
    }
    xmlhttp.open("GET",arm);
    xmlhttp.send(null);
}
loadXMLDoc();
</script>

当 AllowFileAccessFromFileURLs 为 true 时,上述 javascript 可以成功读取 http://www.so.com 的内容,但设置为 false 时,上述脚本执行会导致如下错误,表示浏览器禁止从 file url 中的 javascript 访问其他源的资源:

漏洞解决方案

setAllowFileAccess(true);                               //设置为 false 将不能加载本地 html 文件
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileURLs(false);
  • setJavaScriptEnabled

通过此API可以设置是否允许WebView使用 JavaScript,默认是不允许,但很多应用,包括移动浏览器为了让 WebView 执行 http 协议中的 JavaScript,都会主动设置允许 WebView 执行 JavaScript,而又不会对不同的协议区别对待,比较安全的实现是如果加载的 url 是 http 或 https 协议,则启用 JavaScript,如果是其它危险协议,比如是 file 协议,则禁用 JavaScript。

解决方案:

  • 对于不需要file协议的应用,禁用file协议
setAllowFileAccess(false);                              //设置为 false 将不能加载本地 html 文件
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileURLs(false);
  • 对于需要使用file协议的应用,禁止file协议加载javascript
setAllowFileAccess(true);                             //设置为 false 将不能加载本地 html 文件
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileURLs(false);
if (url.startsWith("file://") {
    setJavaScriptEnabled(false);
} else {
    setJavaScriptEnabled(true);
}

参考博客:

https://blog.csdn.net/self_study/article/details/54928371
https://www.jianshu.com/p/3a345d27cd42

coderPlus
关注
专栏目录
APP代码审计中常见漏洞(一)
武天旭的博客
12-11 1457
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 SQLite注入 2 资源注入 3 Android类加载注入 4 遗留的调试代码 5 ContentProvider URI 注入 6 Intent操纵 7 Android查询字符串构造 8 AndroidManifest.xml配置 9 用户信息泄露
Android WebView使用详解
一花一世界的博客
07-02 1873
前言 现在越来越多的APP都内置了Web网页去加载视图,也就是我们常说的Hybrid APP混合应用,市场上很多平台都是这样做的,比如我们经常使用的淘宝、京东等电商平台。这些是如何实现的呢?在我们Android中有一个WebView组件,它就可以实现此类功能。它是Android中的原生UI控件,主要用于在APP应用中方便地访问远程网页或本地HTML资源,同时WebView也在Android中充当...
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
Android Webview 漏洞复现
比格沃斯的博客
12-02 947
Andoid Webview 漏洞复现前言触发条件漏洞原理漏洞复现1. 运行环境2.1 webview介绍2.2 漏洞核心代码2.3 JS攻击核心代码2.4 效果展示 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞。该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法。 总结起来说,就是通过addJavascriptInterface
WebView常见的安全漏洞
最新发布
challenge51all的专栏
08-16 378
例如,假设一个应用通过 WebView 展示用户生成的评论,如果不对评论内容进行清理和编码,恶意用户可能在评论中插入 XSS 脚本。不安全的证书验证:如果 WebView 没有正确验证服务器证书,可能导致与不安全的服务器建立连接,造成数据泄露。输入验证和清理:对用户输入到 WebView 中的数据进行严格的验证和清理,去除可能包含的恶意脚本代码。编码输出:对从服务器端传递到 WebView 的数据进行适当的编码,防止恶意脚本的注入。头来限制网页可以加载的资源类型和来源,减少潜在的攻击面。
修复android下webView控件的总结
weixin_33920401的博客
02-06 159
游戏中有一个收集玩家问题反馈的网页很早之前就有同事反映说android在游戏无法上传附件在浏览器中是可以正常使用的。最近能腾出手来的时候就仔细看了一下这个问题发现很里藏着不少问题这里一一记录下来希望能其它人有用因为很多问题跟网上反映出来可能有点不太一样。 既然是网页而且只在游戏中才出现那第一步你要先会使用Fiddler来拦截请求定位出问题的代码在...
android与js交互,以及webview漏洞修复问题
Gudio的博客
03-08 658
webview 使用记录
WebView使用漏洞
qq_39431405的博客
02-07 973
webview使用漏洞
Android安全漏洞修复-Webview中的漏洞修复
Liberty_zw的博客
11-28 1805
文章目录项目问题1. 类型2.具体分析2.1 WebView 任意代码执行漏洞2.1.1 addJavascriptInterface 接口引起远程代码执行漏洞2.1.2 searchBoxJavaBridge_、accessibility、 accessibilityTraversal接口引起远程代码执行漏洞2.2 密码明文存储漏洞2.2.1 问题分析2.2.2 解决方案2.3 域控制不严格漏洞...
webview Poc及检测
01-08
6. **防护措施**:如果发现漏洞,应了解如何修复或配置WebView以避免攻击,如禁用不必要的API,限制JavaScript的权限,或者使用最新的WebView库更新。 总之,WebView POC和检测对于移动应用的安全性至关重要。通过...
Android之WebView安全
laymenISmouse的专栏
01-30 824
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
WebView(三)—— WebView使用漏洞
xingyu19911016的博客
11-15 2557
WebView使用漏洞 WebView中,主要漏洞有三类: 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 1 任意代码执行漏洞 JS调用Android代码是通过addJavascriptInterface接口进行对象映射。 1.1 漏洞产生的原因 // java代码 public class AndroidJS extends Object { @JavascriptInterface public void hello(String msg) { System
WebView远程代码执行漏洞学习并复现
九天
04-01 7743
一 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接
WebView 远程代码执行漏洞浅析
feizhixuan46789的专栏
10-15 7444
1. WebView 远程代码执行漏洞描述       Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebV
WebView的优化--处理WebView的容易忽略的漏洞
li15225271052的博客
06-25 2578
现在很流行android和H5混合开发,大大节约了成本,但是也有很多我们不得不考虑的安全问题。 主要问题有三类 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 1.1 WebView 任意代码执行漏洞11.1 addJavascriptInterface 接口引起远程代码执行漏洞首先我们要明确任何和支付有关的操作最好不要通过js交互进行。 给大家看看攻击的js核心代码function ex
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
Android:你不知道的 WebView 使用漏洞
ly969434341的专栏
04-24 146
Android:你不知道的 WebView 使用漏洞 https://blog.csdn.net/carson_ho/article/details/64904635
WebView漏洞,为何是打不死的小强?
weixin_33989058的博客
08-24 136
一、WebView漏洞持续高居榜首 阿里移动安全发布的2015第三季度移动安全报告【1】,对16个行业的top10 Android应用进行扫描,发现与Webview相关的漏洞依然高居榜首。 Webview相关问题早在2012年【2】就已经披露并广泛关注,但到为何到现在还是持续高居漏洞榜首?! 二、Webview是一个什...
解决Android WebView无法后退与JS注入漏洞
"这篇文章除了介绍Android中WebView无法后退的问题,还涉及到了针对安卓4.2及以下版本的js注入漏洞的解决方案。在Android应用中,WebView经常用于展示网页内容,但有时会遇到用户无法正常后退或者存在安全风险的情况...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值