【Android】WebView安全漏洞问题

最新推荐文章于 2024-06-18 22:45:11 发布
最新推荐文章于 2024-06-18 22:45:11 发布
阅读量421 收藏
点赞数 1
分类专栏: Android 文章标签: android webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30885821/article/details/114992413
版权

参考:
https://blog.csdn.net/carson_ho/article/details/64904635
https://blog.csdn.net/qq_42014702/article/details/100899046
https://blog.csdn.net/feather_wch/article/details/82292061

在这里插入图片描述

webview常见的坑

  1. (任意命令执行漏洞)

API <= 16时,WebView.addJavascriptInterface()有安全漏洞。
Android API level 16 以及之前的版本存在远程代码执行安全漏洞。原因:程序没有正确限制使用WebView.addJavascriptInterface方法。这样,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法。

  1. webview在布局文件中的使用

webview写在其他容器中时。终止时要先将WebView从容器中remove掉,再去执行WebView.removeAllViews()WebView.destory()方法,才能真正销毁整个webview,防止内存泄漏。

  1. jsbridge

让js和android相互调用。
让我们可以本地native端可以调用webjs的代码,同时也可以让远端web调用我们客户端native的代码。

  1. webViewClient.onPageFinished()–>WebChromeClient.onProgressChanged()
  1. webview跳转各种url时,不断回调这个方法。
  2. 建议使用WebChromeClient.onProgressChanged()方法比较好
  1. 后台耗电

没有将webview很好地销毁的话,会残留运行,导致后台耗电
WebView用于独立线程:会涉及到IPC。但是简单粗暴,直接kill进程,能有效避免泄露。
对传入WebView的Context使用弱引用,使用结束时,将WebView从父容器中remove后在进行清理工作。

  1. WebView硬件加速导致页面渲染问题

开启硬件加速会让加载更顺滑
容易出现页面加载闪烁的问题。
解决办法:暂时关闭WebView的硬件加速。

webview造成的内存泄漏的问题

先来说一下为什么会出现内存泄漏问题?

根本原因就是,我们WebView首先要关联一个Activity,而webView内部执行的操作是在新的线程当中,它时间我们Activity是没有办法确定的,Activity生命周期和新线程的生命周期它是不一样的,所以说导致了webView它会一直持有Activity的引用,不能回收,原理是和我们匿名内部类持有外部类的引用,导致外部类无法回收是一样的,为了避免内存泄漏,我们有两个做法:

1.独立进程,简单粗暴,不过可能涉及到进程间通信
独立进程:就是单独开启一个进程给webView进行操作

2.动态添加WebView,对传入WebView中使用Context使用弱引用,动态添加WebView意思在布局创建个ViewGroup用来放置WebView,Activity创建时add进来,在Activity停止时remove掉

ScriptGirl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android安全开发之WebView中的大坑
zhangcanyan的博客
07-17 2万+
0X01 About WebView      在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行
WebView安全漏洞问题
qq_27623401的博客
02-17 569
一、WebView常见的一些坑        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。          2、webview在布局文件中的使用:webview写在其他容...
Android WebViewWebView基础
最新发布
dev晴天的博客
06-18 1096
web的error 页面比较丑,我们可以在加载失败时,展示安卓自定义的错误展示页。4、动画、银屏、视频 合适加载释放动画、银屏、视频 加载会造成cpu、电量消耗可在activity、 fragment的onResume、onStop进行开关控制。
android WebView详解,常见漏洞详解和安全源码
02-13 211
  这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析。  转载请注明出处:http://blog.csdn.net/self_study/article/details/54928371。  对技术感兴趣的同鞋加群 544645972 一起交流。 Android Hybrid 和 WebView 解...
webView常见漏洞以及解决方法
fulai00的专栏
10-25 2357
1.Android 4.4 之前的版本 webkit 中内置了”searchBoxJavaBridge_”接口。攻击者可通过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码。 解决方法:webView.removeJavascriptInterface("searchBoxjavaBridge_"); 2.Android 4.4 之前的版本 WebView
Android控件使用:WebView(一)
baopengjian的专栏
10-17 600
#1   webview = new WebView(this);            //实例化WebView对象,this为Context     #2  webview.loadUrl("http://www.51cto.com/");          //加载需要显示的网页        #3   webview.getSettings().setJavaScriptEnabled(t...
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞及解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
Android_WebView安全攻防指南2020.pdf
08-11
以下是一份详细的Android WebView安全攻防指南,涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**:在Android 4.4之前,系统中的...
Android Webview UXSS 漏洞攻防.pdf
09-18
Android Webview UXSS 漏洞攻防 应急响应 安全防御 漏洞挖掘 网络与基础架构安全 网络与基础架构安全
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 898
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
Android WebView安全方面的一些坑
yy1715713348的博客
01-16 1040
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
Android Webview历史高危漏洞与攻击面分析
道阻且长,行则将至。
06-03 2103
WebViewAndroid 系统中的原生控件,它是一个基于 webkit 引擎、展现 web 页面的控件,相当于增强版的内置浏览器。现在很多 App 里都内置了 Web 网页(Hybrid App),比如说很多电商平台,淘宝、京东、聚划算等等。Webview 的广泛使用也就导致了其成为攻击者关注的对象,本文将学习、讨论下 Webview 远程代码执行漏洞、跨域访问漏洞及其它攻击面。...
[车联网安全自学篇] Android安全之WebView攻防「基础篇」
橙留香Park的博客
04-15 606
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大少走了弯路,也就错过了风景,无论如何,感谢经历开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解在And
flutter游戏背包,2024Android者未来的出路在哪里
m0_61331407的博客
02-29 691
PS:之前因为秋招收集的二十套一二线互联网公司Android面试真题 (含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。一共十个专题,包括了Android进阶所有学习资料,Android进阶视频,Flutter,java基础,kotlin,NDK模块,计算机网络,数据结构与算法,微信小程序,面试题解析,framework源码!
Android WebView常见问题及解决方案汇总
810364804
11-05 1103
如有转载,请声明出处: 时之沙:http://blog.csdn.net/t12x3456 Android WebView常见问题解决方案汇总: 就目前而言,如何应对版本的频繁更新呢,又如何灵活多变地展示我们的界面呢,这又涉及到了web app与native app之间孰优孰劣的争论. 于是乎,一种混合型的app诞生了,灵活多变的部分,如淘宝商城首页的活动页面,一集凡客诚品中我们都可以见到we...
Android webview使用漏洞案例解析
成长的味道
11-23 1238
现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等, 上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 目录 1. 类型WebView中,主要漏洞有三类:任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 2. 具体分析
"Drozer使用手册:Android设备安全漏洞测试框架详解
Drozer是一个在Android设备中帮助开发人员和测试人员确定安全漏洞的工具。它的出现是为了简化Android应用程序或设备的安全评估过程,避免了创建大量自定义应用程序来测试漏洞的繁琐工作。本手册通过详细的中文说明和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值