Webview File 同源策略绕过漏洞修复方案

最新推荐文章于 2023-02-16 11:42:16 发布
最新推荐文章于 2023-02-16 11:42:16 发布
阅读量804 收藏
点赞数
分类专栏: 知识积累 问题记录 文章标签: webview android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31545245/article/details/118572771
版权

1.将不必要导出的组件设置为不导出,并显式设置所注册组件的"android:exported”属性为 false;
2.如果需要导出组件,禁止使用File域WebView.getSettings.setAllowFileAccess(false);
3.如果需要使用File协议,禁止File 协议调用JavaScript: WebView.getSettings.setJavaScriptEnabled(false)

ps:组件导出定义:
组件的导出具体表现在清单文件中,组件中存在"android:exported"这个属性,其值为true时表示组件存在导出。存在组件导出有以下几种情况
a. 主动设置android:exported为true
b. 组件存在IntentFilter,存在IntentFilter时android:exported属性默认值为true
c. 当minSdkVersion或者targetSdkVersion小于16时,默认为true 大于17时,默认为false

在app上的具体表现是:比如游戏登陆时调用微信的Activity登陆组件,微信的Activity登陆组件就是可被导出的。简单来讲就是导出的组件可以被第三方app调用(唤醒)

华灯雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Webview File同源策略绕过漏洞
Venscor技术养成之路
01-09 6341
一个比较老的漏洞,不能远程利用,只能通过Malicious App来攻击。一、漏洞原理1、漏洞原理  为了说明漏洞原理,这儿假设用户安装了两个App,第一个是攻击的App,即Benign App,另一个是Malicious App,也就是攻击者App。首先,由于Android沙箱机制的限制,Malicious App是不能访问Benign App的私有目录的。但是,如果Malicious App有了
安卓开发开发规范手册V1.0
AzulSystems的博客
03-04 588
在AndroidManifest文件中定义了android.intent.category.BROWSABLE属性的组件,可以通过浏览器唤起,这会导致远程命令执行漏洞攻击。
Android安全检测-WebView File同源策略绕过漏洞
qq_35993502的博客
11-22 7103
这一章我们来学习“WebView File同源策略绕过漏洞”。 一、漏洞原理
Android静态安全检测 -> WebView File同源策略绕过漏洞
4lwin博客
07-14 4344
WebSettings.setAllowFileAccess( ) & WebSettings.setJavaScriptEnabled( ) 1. API 继承关系 java.lang.Object android.webkit.WebSettings 主要方法 setAllowFileAccess(boolea
APP漏洞WebView File同源策略绕过漏洞
xiaoi123的博客
04-03 1758
i春秋作家:MAX丶基本知识Android架构Kernel内核层 漏洞危害极大,通用性强 驱动由于多而杂,也可能存在不少漏洞Libaries系统运行库层系统中间件形式提供的运行库 包括libc、WebKit、SQLite等等AndroidRunTime Dalvik虚拟机和内核库FrameWork应用框架层 提供一系列的服务和API的接口活动管理器内容提供器视图资源管理器通知管理器Applicat...
android webview input=file 失效解决方案
05-24
1. **安全策略限制**:Android的WebView遵循Chrome的同源策略,不允许跨域访问,包括本地文件系统。出于安全考虑,`input=file`选择文件的API被禁用或限制。 2. **文件选择器缺失**:在一些Android版本中,点击`...
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
Android中WebView无法后退和js注入漏洞的解决方案
09-02
总的来说,处理WebView的后退问题和JavaScript注入漏洞需要对Android和Web开发有深入理解。对于后退问题,可以通过调整重定向逻辑或自定义历史栈来解决;而对于安全问题,及时更新WebView组件,启用安全设置,并与...
Android WebView支持input file启用相机/选取照片功能
08-25
Android WebView支持input file启用相机/选取照片功能 Android WebView支持input file启用相机/选取照片功能是指在Android应用程序中使用WebView组件时,如何启用input file的相机/选取照片功能。本文将通过实例...
AndroidWebView安全漏洞解决方案.docx
10-26
AndroidWebView安全漏洞解决方案.docx
解决webview内的iframe中的事件不可用的问题
08-19
主要介绍了解决webview内的iframe中的事件不可用的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
WebFileView:使用web界面查看文件
05-14
FileView 使用Flask + Python编写的一个简单的查看日志的web页面 截图: 使用方法: 安装 pip install Flask 使用 python app.py 运行 可以通过修改 app.py中的def index()来指定不同的目录
Android WebView File同源策略绕过漏洞浅析
aoe41606的博客
04-11 355
0x00 我们首先讲一个webView这种方法的作用:webView.getSettings().setAllowFileAccessFromFileURLs(false); 为了解说这种方法,我们还是看一个实际的样例。代码地址还是參考https://github...
Android应用安全解决方案
Android技术之家
04-03 1384
前言 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。1、一些必要的基础知识 我们在加密的时候会用到一些加密或者编码方法。常见的有,非对称加密算法 RSA 等;对称加密算法 DES、3DES 和 AES 等;不可逆的加密 MD5、SHA256 等。另外,我们会把重要的加密逻辑放到 Native 层来实现,所以一些 JNI 编程的方法也是需要的。不...
Android静态安全检测
u010457514的博客
08-13 2615
1.allowBackup标志位 问题描述: AndroidManifest.xml文件中allowBackup属性值被设置为true时(默认为true),用户可通过adb backup对应用数据备份,导出应用中存储的数据,造成用户数据的泄露。 修复建议 将android:allowBackup标志位设置为false。 2.debuggable标志位 问题描述: AndroidManif...
APP android 测试用例手册
mingyqf的博客
02-16 1303
原文链接:https://www.cnblogs.com/backlion/p/15701898.html。
android安全测评修复小记(备用)
baidu_36583608的博客
09-28 1778
以下权限非需要不声明使用CAMERA:访问相机READ_EXTERNAL_STORAGE:读取SD卡上的内容WRITE_EXTERNAL_STORAGE:修改/删除SD卡中的内容RECORD_AUDIO:录音READ_CONTACTS:读取联系人数据。
android 组件导出安全,App安全检测实践基础:组件安全(二)
weixin_29044713的博客
05-26 566
系列文章目录Activity简述Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务。Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,可以通过setContentView(View)来显示指定控件。在一个android应用中,一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件也可以监听并处理用户的事件做出响应。Activity之...
检测App内部的WebViewfile域协议是否存在同源策略绕过漏洞
最新发布
06-06
检测App内部的WebViewfile域协议是否存在同源策略绕过漏洞需要进行以下几个步骤: 1. 确认App内部是否存在WebView组件,如果存在,则可以进入下一步。 2. 构造一个HTML文件,在文件中引用一个包含漏洞代码的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值