Android WebView远程代码执行漏洞简析

最新推荐文章于 2024-03-18 18:30:43 发布
VIP文章 最新推荐文章于 2024-03-18 18:30:43 发布
阅读量5.8k 收藏 7
点赞数 1
分类专栏: Android Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jltxgcy/article/details/50676591
版权

   0x00

    本文参考Android WebView 远程代码执行漏洞简析。代码地址为,https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo。下面我们分析代码。

    

   0x01

    首先列出项目工程目录:


    MainActivity.java的代码如下:

public class MainActivity extends Activity {
	private WebView webView;
	private Uri mUri;
	private String url;
	//String mUrl1 = "file:///android_asset/html/attack_file.html";
	String mUrl2 = "file:///android_asset/html/test.html";

	@Override
	protected void onCreate(Bundle savedInstanceState) {
		super.onCreate(savedInstanceState);
		setContentView(R.layout.activi
最低0.47元/天 解锁文章
jltxgcy
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于AndroidWebView远程代码执行漏洞浅析
08-27
主要给大家介绍了关于AndroidWebView远程代码执行漏洞的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
WebView远程代码执行漏洞学习并复现
九天
04-01 7551
一 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接
APP部分漏洞及解决方法
tushiba的博客
01-07 1882
公司APP在教育移动互联网应用程序备案管理平台上收到通报预警,陈列了部分需要解决的漏洞,陈列如下 1.漏洞-动态注册Receiver风险 解决方法: 1.在 AndroidManifest.xml 文件静态注册 BroadcastReceiver,同时设置 exported="false"。 2.必须动态注册 BroadcastReceiver时,使用registerRecei...
ASP常见漏洞大全
机器的自我探索之旅
01-07 1万+
一、SQL注入漏洞 漏洞简介: 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入漏洞的几种类型: 1、数字型注入漏洞 例如:http://www.tes
Android WebView的Js对象注入漏洞解决方案,80后程序员感慨年危机
最新发布
2401_83621541的博客
03-18 643
框架原理真的深入某一部分具体的代码实现方式时,要多注意到细节,不要只能写出一个框架。算法方面很薄弱的,最好多刷一刷,不然影响你的工资和成功率😯在投递简历之前,最好通过各种渠道找到公司内部的人,先提前了解业务,也可以帮助后期优秀 offer 的决策。要勇于说不,对于某些 offer 待遇不满意、业务不喜欢,应该相信自己,不要因为当下没有更好的 offer 而投降,一份工作短则一年长则 N 年,为了幸福生活要慎重选择!!!开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
Android Webview历史高危漏洞与攻击面分析
道阻且长,行则将至。
06-03 2012
WebViewAndroid 系统的原生控件,它是一个基于 webkit 引擎、展现 web 页面的控件,相当于增强版的内置浏览器。现在很多 App 里都内置了 Web 网页(Hybrid App),比如说很多电商平台,淘宝、京东、聚划算等等。Webview 的广泛使用也就导致了其成为攻击者关注的对象,本文将学习、讨论下 Webview 远程代码执行漏洞、跨域访问漏洞及其它攻击面。...
Android安全检测 - WebView远程代码执行漏洞(CVE-2012-6336)
qq_35993502的博客
09-22 2352
这一章我们来学习“WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统并没有对注册Java 类的方法调用的限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1
Android静态安全检测 -> WebView组件远程代码执行漏洞检测
4lwin博客
06-21 4781
WebView组件远程代码执行漏洞检测 - addJavascriptInterface方法 1. API 继承关系 java.lang.Object android.view.View android.view.ViewGroup android.widget.AbsoluteLayout android.webkit.WebVi
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 871
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbViewaddJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
WebView 远程代码执行漏洞浅析
feizhixuan46789的专栏
10-15 7396
1. WebView 远程代码执行漏洞描述       Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebV
Android webview用法实例简析
01-05
本文简单分析了Android webview用法。分享给大家供大家参考,具体如下: ...(2)在要Activity生成一个WebView组件: 代码如下:WebView webView = new WebView(this); (3)设置WebView基本信息: webview.ge
Android webview注入JS代码 修改网页内容操作
08-19
主要介绍了Android webview注入JS代码 修改网页内容操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Android的权限管理(基于Permission ProtectionLevel)
热门推荐
jltxgcy的专栏
09-08 2万+
1、什么是protectionlevel呢?      我们经常在AndroidManifest使用权限,如果我们想让应用程序可以发短信,那么应该这样写:       那么这个权限的定义是在哪里定义的呢?如下:      frameworks/base/core/res/AndroidManifest.xml<permission android:name="android.permission
Android SO 加壳(加密)与脱壳思路
jltxgcy的专栏
08-14 1万+
0x01 常见的Android SO加壳(加密)思路 1.1 破坏Elf Header 将Elf32_Ehdr 的e_shoff, e_shnum, e_shstrndx, e_shentsize字段处理,变为无效值。由于在链接过程,这些字段是无用的,所以可以随意修改,这会导致ida打不开这个so文件。 1.2 删除Section Header ...
Android native反调试方式及使用IDA绕过反调试
jltxgcy的专栏
01-28 1万+
0x00     为了避免我们的so文件被动态分析,我们通常在so加入一些反调试代码,常见的Android native反调试方法有以下几种。     1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试。     2、根据上面说的/proc/$pid/statusTracerPid行显示调试程序的pid的原理, 可以写一个方法检查
Android NDKC++ STL库动态和静态链接
jltxgcy的专栏
08-15 1万+
0x00 本文参考    本文参考Android NDKC++运行时库介绍。    我们在开发NDK的时候,经常需要使用C++ STL库开发,那么这些库是如何和我们的程序链接的呢?   0x01 C++ STL分类     这些静态链接库和动态链接库都位于哪呢?    答案是位于ndkpat/sources/cxx-stl。我们截图看下这个目录:    我们可以清晰的对照两张图。libstlpo
使用NanoHttpd实现简易WebServer
jltxgcy的专栏
02-17 9468
0x00    在介绍使用NanoHttpd实现简易WebServer之前,我们首先熟悉下局域网Socket通信。一个Client工程,代码地址为https://github.com/jltxgcy/AppVulnerability/tree/master/MyClient。一个Server工程,代码地址为https://github.com/jltxgcy/AppVulnerability/tr
android webview 获取html 代码
05-25
你可以使用以下代码来获取 WebView 的 HTML 代码: ```java WebView webView = findViewById(R.id.web_view); webView.loadUrl("https://www.example.com/"); webView.setWebViewClient(new WebViewClient() { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值