React Native Webview安全问题解决办法

最新推荐文章于 2023-12-05 22:59:21 发布
最新推荐文章于 2023-12-05 22:59:21 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: React Native 文章标签: RN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxyoucan/article/details/123520733
版权

威胁描述

威胁描述 根据CVE披露的WebView远程代码执行漏洞信息(CVE-2012-663、CVE-2014-7224),Android系统中存在一共三个有远程代码执行漏洞的隐藏接口。分别是位于android/webkit/webview中的“searchBoxJavaBridge”接口、android/webkit/AccessibilityInjector.java中的“accessibility”接口和“accessibilityTraversal”接口。调用此三个接口的APP在开启辅助功能选项中第三方服务的Android系统上将面临远程代码执行漏洞。

修改源码

/node_modules/react-native-webview/android/src/main/java/com/reactnativecommunity/webview/RNCWebViewManager.java

在这个文件中搜索removeJavascriptInterface

@SuppressLint("AddJavascriptInterface")
    public void setMessagingEnabled(boolean enabled) {
      if (messagingEnabled == enabled) {
        return;
      }

      messagingEnabled = enabled;

      if (enabled) {
        addJavascriptInterface(createRNCWebViewBridge(this), JAVASCRIPT_INTERFACE);
      } else {
        removeJavascriptInterface(JAVASCRIPT_INTERFACE);
      }
    }

修改成:

@SuppressLint("AddJavascriptInterface")
    public void setMessagingEnabled(boolean enabled) {
      	removeJavascriptInterface("searchBoxJavaBridge_");
		removeJavascriptInterface("accessibility");
		removeJavascriptInterface("accessibilityTraversal");
    }

带来了更多的问题

removeJavascriptInterface(“searchBoxJavaBridge_”);
removeJavascriptInterface(“accessibility”);
removeJavascriptInterface(“accessibilityTraversal”);
安全问题是成功解决了,但是现在带来的一堆新的问题了。

React Native WebView这个组件一些常用功能无法正常使用了。
简单的来说,因为禁用了javascript交互的一些功能。RN无法控制Webview中的内容了。导致了以下的问题:

  1. RN端无法与WebView中的H5页面正常交互了。这样导致Livebos中的附件下载,或者一些操作事件,APP中无法监听到了。
  2. 影响当前APP的登录逻辑。目前我们APP的登录依赖这些JavascriptInterface。如果没有这个接口,我们必须把登录逻辑大改。需要曲线救国了。

shell配合sed实现整段文本替换实例

https://blog.csdn.net/lxyoucan/article/details/123582294

写本文的原始需求:
需要修改一个非常长的Java文件,以下代码块

 @SuppressLint("AddJavascriptInterface")
    public void setMessagingEnabled(boolean enabled) {
      if (messagingEnabled == enabled) {
        return;
      }

      messagingEnabled = enabled;

      if (enabled) {
        addJavascriptInterface(createRNCWebViewBridge(this), JAVASCRIPT_INTERFACE);
      } else {
        removeJavascriptInterface(JAVASCRIPT_INTERFACE);
      }
    }

替换成:

    @SuppressLint("AddJavascriptInterface")
    public void setMessagingEnabled(boolean enabled) {//webview removeJavascriptInterface
        removeJavascriptInterface("searchBoxJavaBridge_");
        removeJavascriptInterface(accessibility);
        removeJavascriptInterface(accessibilityTraversal);
    }

原本我想使用Java代码代码来实现替换动作,或者使用lua脚本来实现这个事情。
考虑到这两种方式都是需要安装运行环境的。所以我就想能不能使用兼容性相对比较好的shell来实现。
就想到使用sed命令来实现了。
最终功能已经成功实现了,代码写的比较笨拙,仅供大家参考:

#!/bin/bash
#自动修改React Native Webview中的代码
#editFilePath='input.txt1'
editFilePath='../node_modules/react-native-webview/android/src/main/java/com/reactnativecommunity/webview/RNCWebViewManager.java
'
#获取要修改的行号
setMessagingEnabledLine=$(sed -n '/public void setMessagingEnabled(boolean enabled) {$/=' ${editFilePath})
echo "查询关键字的位置:${setMessagingEnabledLine}"
if [[ "$setMessagingEnabledLine" == '' ]]; then
    echo "没有找到关键字,程序将要退出"
    echo "可能已经执行过 自动修改脚本了"
    exit
fi

#要修改的开始行号
startLine="$((setMessagingEnabledLine+1))"
#要修改的结束行号
endLine="$((startLine+10))"
index1="$((startLine-1))"
index2="$((startLine))"
index3="$((startLine+1))"
#删除方法体的内容
sed -i "${startLine},${endLine}d" ${editFilePath}
#增加第一行代码___用于格式化
sed -i "${index1}a________removeJavascriptInterface(\"searchBoxJavaBridge_\");" ${editFilePath} 
#增加第二行代码
sed -i "${index2}a________removeJavascriptInterface("accessibility");" ${editFilePath}
#增加第三行代码
sed -i "${index3}a________removeJavascriptInterface("accessibilityTraversal");"  ${editFilePath}
#用空格格式化一下
sed -i 's/________/        /' ${editFilePath}
#标记位做个标记访问重复处理
sed -i 's/public void setMessagingEnabled(boolean enabled) {$/public void setMessagingEnabled(boolean enabled) {\/\/webview removeJavascriptInterface/' ${editFilePath}
cat ${editFilePath}

参考

https://developpaper.com/android-webview-high-risk-problem-solving/

ITKEY_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【1day】复现LiveBOS ShowImage.do 接口存在任意文件读取漏洞
记录并分享学习安全的知识点..
08-21 695
LiveBOS(简称LiveBOS)是顶点软件股份有限公司开发的一个对象型业务架构中间件及其集成开发工具。它以业务模型建立为中心,直接完成软件开发的创新软件开发模式。适合于各类基于WEB的专业应用软件与行业大型应用的开发。LiveBOS ShowImage.do 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感文件。 ​
react nativewebview通信的示例代码
08-29
本篇文章主要介绍了react nativewebview通信的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
react-native-web-webview:React Native用于RNWebView的Web实现
05-17
react-native-web-webview React Native用于RNWebView的Web实现 入门 $ npm install react-native-web-webview --save 别名打包您的webpack配置中: resolve: { alias: { 'react-native': 'react-native-web', ... 'react-native-webview': 'react-native-web-webview', } } 将以下规则添加到您的webpack配置中: const rule = { test : / postMock.html $ / , use : { loader : 'file-loader' , options : {
rn-webview-rpc:向 React Native WebView 组件添加 RPC 功能
08-05
React-Native WebView RPC RN-WebView-RPC 的目标是允许从运行在WebView组件内的 Web 应用程序调用原生 API,反之亦然。 它可以用作混合应用程序的本机部件和 Web 部件之间的桥梁,例如,从WebView请求本机地理位置权限。 RN-WebView-RPC 将 React-Native 的组件与 Google 的库集成到一个易于使用的包中。 例如,下面的代码片段允许打开一个本地警报,让用户选择 html 网页的背景颜色。 // App.js import React from 'react' ; import { View , Alert } from 'react-native' ; import WebViewRpc from 'rn-webview-rpc/native' ; import html from './index
解决React-NativeWebView不支持Android选择图片和拍照
08-31
解决React-NativeWebView不支持Android选择图片和拍照
LiveBOS应用开发指南
11-04
简要的介绍了livebos的开发文档,非常有用的文档,共享学习!
【渗透+取证】博客传送门(持续更新中)
最新发布
记录并分享学习安全的知识点..
12-05 1557
【渗透+取证】博客传送门(持续更新中)
LiveGBS国标流媒体GB28181开放流媒体服务平台-实际测试时问题排查
热门推荐
青柿视频流媒体的博客
04-22 1万+
LiveCMS 和 LiveSMS都部署起来后,浏览器输入ip:10000端口打不开LiveCMS的页面。这种情况一般是LiveCMS的10000端口被其他程序占用了导致。可以先卸载LiveCMS,打开livecms.ini文件,把http端口从10000改成100002或其他端口,再重新安装LiveCMS。
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 877
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
liveBOS环境搭建
weixin_30295091的博客
06-21 496
环境搭建:1.准备jdk1.6及以上版本oracle11gplsqlsql脚本(oracle_init.sql,oracle_insert.sql)livebos_tomcatlivebos的授权文件 2.jdk的安装及环境变量的配置在命令行窗口中输入 java -version 查看自己安装的jdk版本本机装的是jdk 1.7.0_51,因为是jdk版本1.6以上,所以就不更换了 如果没有安...
LiveBOS产品白皮书V1.3.0.pdf
10-16
LiveBOS产品白皮书V1.3.0.pdf
详解react-native WebView 返回处理(非回调方法可解决)
08-27
主要介绍了详解react-native WebView 返回处理(非回调方法可解决),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JAVA集成livebos_LiveBOS Webservice初步使用
weixin_39607873的博客
02-27 223
今天外部部门对接,需要我们这传输数据到他们的webservice,因为我是php的,他们java的demo没有参考意义,因此自己摸索着请求。我使用的是php的扩展方法soap,首先new SoapClient($url)(如果中文字符乱码,可以在url后加一个参数,加入array('encoding'=>'UTF-8'),此方法未验证,因为本次暂未用到),然后可以使用方法__getFunct...
LIveBOs-视图使用
weixin_30472035的博客
04-21 231
转载于:https://www.cnblogs.com/luhanzhen/p/6745439.html
livebos报表开发
阿浪的专栏
04-27 434
文章目录1.参数的设定2.展示的内容3.综合展示的效果4.调用过程5.可以在数据库里面查看6.注意事项7.过程代码 1.参数的设定 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-flb5C49A-1619516341977)(/uploads/xinxibuneibuzhishiku/images/m_bc71bb4608053778dbf29e06cd102ae1_r.png)] 2.展示的内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-
远程 命令/代码 执行(remote command/code execute)漏洞总结
未完成的歌~的博客
08-20 7926
这周来学习下命令执行漏洞;命令执行漏洞是用户通过浏览器在远程服务器上执行任意系统命令,与代码执行漏洞没有太大的区别,不过我们在学习时还是要区分不同的概念。关于代码执行漏洞会在下篇博客中详述。 一、什么是命令执行漏洞: 应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时...
React-Native,Android端-WebView组件访问Https不受信任站点的设置
举世武双的博客
09-13 1177
React-Native,Android端-WebView组件访问Https不受信任站点的设置 react-native-webview库, 1、找到Android端源码: 包名:com.reactnativecommunity.webview 类:RNCWebViewManager.java 2、找到内部静态类RNCWebViewClient。RNCWebViewClient是RN端使用的组件类。 在这个类当中添加如下代码: @Override public void onReceivedSsl
React Native学习八- WebView
wgl_happy的专栏
05-10 906
创建一个原生的WebView,可以用于访问一个网页。 截图 属性 iosallowsInlineMediaPlayback bool # 指定HTML5视频是在网页当前位置播放还是使用原生的全屏播放器播放。 默认值为false。 注意 : 要让视频在网页中播放,不光要将这个属性设为true,HTML中的视频元素本身也需要包含webkit-playsin
react-native 项目第三方库复活之路中的踩坑记录【更新中】
qq_40241320的博客
08-09 853
复活以前的rn项目时遇到的坑,在这边做一下处理记录
解决ReactNative Webview加载时候白屏问题
06-11
ReactNative中的WebView组件是用来展示网页或者HTML内容的,但是有时候在加载网页内容时会出现白屏的情况。下面是一些可能导致白屏问题的原因以及解决方案: 1. WebView的style属性设置问题:在ReactNative中,如果WebView组件的style属性没有设置宽度和高度,那么默认是不可见的。因此,如果WebView显示白屏,可以检查一下style的设置是否正确。 2. 网络连接问题:如果WebView要显示的网页内容需要联网才能访问,那么需要确保设备处于联网状态。如果设备没有联网,WebView就会一直显示白屏。 3. 网页内容加载速度问题:有些网页内容可能需要较长时间才能加载完成,如果加载时间过长,用户就会看到白屏。解决这个问题的方法是可以使用WebView的onLoadEnd属性来监听网页是否加载完成,可以在加载完成后再将WebView显示出来。 4. WebView版本问题:如果使用的是老版本的WebView组件,可能会出现白屏问题。可以更新ReactNative版本或者WebView版本来解决这个问题。 5. WebView中的JavaScript问题:如果网页中有JavaScript代码,可能会导致WebView出现白屏。可以通过设置WebView的javaScriptEnabled属性为true来解决这个问题。 希望以上这些解决方案能够解决你的问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值