android安全之webview远程代码执行漏洞

最新推荐文章于 2021-09-22 11:03:34 发布
最新推荐文章于 2021-09-22 11:03:34 发布
阅读量1.5k 收藏
点赞数
分类专栏: WebView

【基础知识】

    WebviewAndroid用于浏览网页的组件,它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互,但是没有限制已注册JAVA类的方法调用,导致可以利用反射机制调用未注册的其它任何JAVA类。

    当Android用户访问恶意网页时,会被迫执行系统命令,如安装木马、盗取敏感数据等。

 

【漏洞重现】

构建一个使用Webview组件的程序,

1AndroidManifest.xml添加网络访问权限

android安全之webview远程代码执行漏洞

2activity_my.xml添加Webview控件

android安全之webview远程代码执行漏洞

3MyActivity.java添加关键代码

android安全之webview远程代码执行漏洞

其中webview-exec.html检测代码:

android安全之webview远程代码执行漏洞

APP程序运行结果如下图:

android安全之webview远程代码执行漏洞

可以看到,在没有使用addJavascriptInterface接口函数的情况下,也会存在远程代码执行漏洞,原因是webview组件默认调用”searchBoxJavaBridge_”对象。

 

 

当使用addJavascriptInterface接口函数时,

android安全之webview远程代码执行漏洞

APP程序运行结果如下图:

android安全之webview远程代码执行漏洞

可以看到,即便test类没有具体实现代码,也一样会触发漏洞。

 

【安全建议】

1、使用removeJavascriptInterface("searchBoxJavaBridge_")移除searchBoxJavaBridge_对象。

2、不用addJavascriptInterface接口函数。使用shouldOverrideUrlLoading来限制安全域的方法并不太安全,别忘了中间人攻击。

 

PS建议android用户自行保护个人手机安全,升级系统至4.2+版本。


【扩展阅读】

http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf

http://50.56.33.56/blog/?p=314

http://drops.wooyun.org/papers/548

http://security.tencent.com/index.php/opensource/detail/1

https://labs.mwrinfosecurity.com/advisories/2013/09/24/webview-addjavascriptinterface-remote-code-execution/

http://blog.csdn.net/leehong2005/article/details/11808557



转载自:http://blog.sina.com.cn/s/blog_777f9dbb0102v8by.html

pangjl1982
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android WebView远程代码执行漏洞简析
jltxgcy的专栏
02-16 5902
0x00    本文参考Android WebView 远程代码执行漏洞简析。代码地址为,https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo。下面我们分析代码。       0x01    首先列出项目工程目录:    MainActivity.java的代码如下:public class MainActi
关于AndroidWebView远程代码执行漏洞浅析
01-04
1. WebView 远程代码执行漏洞描述       Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接操作本地的JAVA接口。该漏洞最早公布于CVE-2012-6636【1】,其描述了WebView中addJava
WebView 远程代码执行漏洞浅析
别了高山
09-02 1689
DroidSec转载资料 bydroidsec 1. WebView 远程代码执行漏洞描述 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJava
Android WebView 远程代码执行漏洞
bihansheng2010的博客
12-01 9314
Android的SDK中提供了的WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。 WebView组件中的addJavascriptInterface方法可以用于实现本地Java和JavaScript的交互。但是这个方法存在远程代码执行漏洞远程攻击者利用此漏洞能实现本地java和js的交互,可对Android移动终端进行网页挂马从而控制受影响设备。
Android_WebView安全攻防指南2020.pdf
08-11
- **JavaScriptInterface接口**:在Android 4.4之前,系统中的JavaScriptInterface接口可通过反射调用来执行任意代码,这可能导致远程代码执行(RCE)。例如,CVE-2012-6636和CVE-2014-1939就是这类漏洞的实例。 -...
Android安全WebViewUXSS漏洞
09-21
### Android安全WebViewUXSS漏洞详解 #### 0X01 前言:XSS与UXSS概览 在网络安全领域,XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的攻击手段,它允许攻击者通过注入恶意脚本到网页中来窃取用户的数据...
安卓WebView中接口隐患与手机挂马利用(远程命令执行
weixin_30756499的博客
09-05 408
安卓应用存在安全漏洞,浏览网站打开链接即可中招。目前有白帽子提交漏洞表明目前安卓平台上的应用普遍存在一个安全漏洞,用户打开一个链接就可导致远程安装恶意应用甚至完全控制用户手机,目前微信,手机QQ,QVOD以及各大手机浏览器均中招 0x00 背景 在android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等...
Android安全检测 - WebView远程代码执行漏洞(CVE-2012-6336)
qq_35993502的博客
09-22 2465
这一章我们来学习“WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统并没有对注册Java 类的方法调用的限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1
Android静态安全检测 -> WebView组件远程代码执行漏洞检测
4lwin博客
06-21 4815
WebView组件远程代码执行漏洞检测 - addJavascriptInterface方法 1. API 继承关系 java.lang.Object android.view.View android.view.ViewGroup android.widget.AbsoluteLayout android.webkit.WebVi
Android WebView 远程执行代码漏洞浅析
shashashashi的专栏
04-22 540
转载地址:http://blog.nsfocus.net/android-webview-remote-code-execution-vulnerability-analysis/  阅读: 4,332 在过去的一段时间里,WebView远程代码执行漏洞可以说是横扫了一大批的Android App,查询Wooyun平台可以得到大致的情况,鉴于很多存在漏洞的App并没有披
Android安全--webview远程代码执行漏洞
编程圈子-谢厂节的博客
11-07 1712
说明Android API level 16以及之前的版本存在远程代码执行安全漏洞,源于程序没有正确限制WebView.addJavascriptInterface方法,攻击者可以利用Java Reflection API 执行任意Java对象的方法。最早公布 CVE-2012-6636【1】。影响范围Android API level 小于17(android 4.2以前的系统)漏洞位置WebVi
WebView远程代码执行漏洞学习并复现
九天
04-01 7703
一 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接
CVE-2013-4710 WebView addJavascriptInterface远程执行代码
weixin_30247781的博客
09-22 388
WebViewAndroid平台下的一个重要组件,通常用来在Activity中嵌入一个简单的浏览器,实现在线网页浏览的功能。比如下面代码实现访问Google页面: WebView webView = new WebView (R.id.webView1); webView.getSettings().setJavaScriptEnabled(true); webView.load...
Webview远程代码执行
xbt312的专栏
09-17 256
APKtools反编译后,查看该应用SDK版本号小于17
Android WebView远程执行代码漏洞浅析
stonesharp的专栏
12-22 2703
在过去的一段时间里,WebView远程代码执行漏洞可以说是横扫了一大批的Android App,查询一些漏洞平台可以得到大致的情况,鉴于很多存在漏洞的App并没有披露,因此WebVeiw远程执行代码漏洞的影响程度会更大。由于Google Android 系统碎片化程度很高,大量的Android系统无法得到及时有效地更新,这个漏洞目前依然在被利用。 本文从WebView的概念开始详细介绍了
Android_Webview的使用/内存优化/远程执行漏洞处理
Luzhuo 的博客
06-27 659
Android_Webview的使用/内存优化/远程执行漏洞处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值