android WebView的安全漏洞 学习记录

最新推荐文章于 2023-12-18 15:40:07 发布
最新推荐文章于 2023-12-18 15:40:07 发布
阅读量103 收藏
点赞数
文章标签: webview 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34198206/article/details/84874525
版权

在Android API Level 16以及之前的版本存在远程代码执行安全漏洞。

漏洞产生的原因:

JS调用Android的其中一个方式是通过addJavascriptInterface接口进行对象映射的。

webView.addJavascriptInterface(new DemoJavaScriptInterface (),"andorid");

 final class DemoJavaScriptInterface {
    DemoJavaScriptInterface() 

    @JavascriptInterface
        public void share(){}
    }
}

第一个参数:Android的本地对象
第二个参数:JS的对象
通过对象映射将Android中的本地对象和JS中的对象进行关联,从而实现JS调用Android的对象和方法
当JS拿到Android这个对象后,就可以调用这个Android对象中所有的方法,包括系统类(java.lang.Runtime类),从而进行任意代码执行。

解决办法:

Google在Android4.2版本中规定对被调用的函数已@JavascriptInterface进行注解从而避免漏洞攻击

 

yxy_No.1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
android webview input=file 失效解决方案
05-24
android webview input=file 失效解决方案
Android安全检测 - WebView远程代码执行漏洞(CVE-2012-6336)
qq_35993502的博客
09-22 2370
这一章我们来学习WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统并没有对注册Java 类的方法调用的限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1
Android静态安全检测 -> WebView组件远程代码执行漏洞检测
4lwin博客
06-21 4788
WebView组件远程代码执行漏洞检测 - addJavascriptInterface方法 1. API 继承关系 java.lang.Object android.view.View android.view.ViewGroup android.widget.AbsoluteLayout android.webkit.WebVi
WebView Attack In Android : 解析第三方账号登录平台所存在的安全隐患
dawuafang
12-30 122
转载请注明出处:http://blog.csdn.net/singwhatiwanna/article/details/17663345 前言 这是一个很有趣的话题,WebViewAndroid中包括IOS中都是一个很重要的控件,有了它,我们可以直接在应用里打开网页而不用跳到浏览器,且网页效果和浏览器几乎一样,这样会增强用户体验,当然也有缺点:占用内存太大,因为WebView加载网页所耗费的...
android安全webview远程代码执行漏洞
pangjl1982的专栏
04-11 1523
【基础知识】     WebviewAndroid用于浏览网页的组件,它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互,但是没有限制已注册JAVA类的方法调用,导致可以利用反射机制调用未注册的其它任何JAVA类。     当Android用户访问恶意网页时,会被迫执行系统命令,如安装木马、盗取敏感数据等。   【漏洞重现】
android WebView详解,常见漏洞详解和安全源码(下)
热门推荐
Shawn_Dut的专栏
02-13 1万+
上篇博客主要分析了 WebView 的详细使用,这篇来分析 WebView 的常见漏洞和使用的坑。   上篇:android WebView详解,常见漏洞详解和安全源码(上)   转载请注明出处:http://blog.csdn.net/self_study/article/details/55046348   对技术感兴趣的同鞋加群 544645972 一起交流。WebView 常见漏洞
Android WebView 安全漏洞解决方案
zhangqiluGrubby的博客
10-11 2415
Android WebView 安全漏洞最近发现公司的应用的WebView存在安全漏洞,找到了一些解决方案和大家一起分享一下,有什么理解不对的地方请多多指教。平时比较懒惰,有写博客的想法,但是懒动手,今天下了狠心想写写东西。WebView我们平时在应用里用的比较多,经常用来展示WEB页面WebView功能非常强大,但是在最近几年也暴露出很多漏洞,我们一起来看看WebView漏洞和解决方案。一 C
Android_WebView安全攻防指南2020.pdf
08-11
1.WebView攻击⾯ 2.WebView配置与使⽤ 3.WebViewURL校验 4.WebView安全防御 5.总结 WebView已成为Android ...通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型及其利用手法,从而获得安全编程方面的指南。
AndroidWebView安全漏洞解决方案.docx
10-26
AndroidWebView安全漏洞解决方案.docx
Android WebView 安全漏洞
idaretobe的专栏
09-09 1457
Android的SDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互。这个方法可以通过js脚本在本地执行任意Java代码,从而以当前用户身份执行任意命令。 尽管Android官方已经提醒了此功能在访问不可信网页内容时存在严重安全风险,很多应用开发人
解决 Hbuilder打包 Apk pad 无法横屏 以及 H5 直接打包 成Apk
一码归一码@
12-18 5761
下面是创建app 项目 wap站首页地址 可以配置 你H5的登录页 也可以是 你的index 页面 然后 会有一些 配置 你可以去百度 manifest.json 这个 配置文件 配置一下 就可以了 很方便 打包后直接 可以安装 到手机上。如果 你有自己的H5 也可以 自己去创建一个空壳 只需要 加上你 H5的请求地址 就可以了。当然 你的 H5前提是做了 自适应 不然 样式会很丑的。下面是manifest.json 配置文件。
Java_带有可选web的开源命令行RatioMaster.zip
05-22
Java_带有可选web的开源命令行RatioMaster
基于MATLAB实现的GA算法解决车辆调度问题VRP+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的GA算法解决车辆调度问题VRP+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
小程序源码-平安保险小程序.zip
最新发布
05-22
小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序小程序源码-平安保险小程序
数据库查看工具网页版本
05-22
数据库查看工具网页版本
grpcio-1.46.5-cp38-cp38-linux_armv7l.whl
05-22
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
android webview
07-27
Android WebView是一个用于在应用程序中显示网页内容的组件。它可以加载网页并在应用程序内部显示,而不是调用系统浏览器。\[1\]在使用WebView时,可以通过复写shouldOverrideUrlLoading()方法来控制网页的加载方式,使得网页在WebView中显示而不是在系统浏览器中打开。\[1\]当Activity销毁时,需要先让WebView加载null内容,然后移除WebView并销毁它,最后将WebView置空,以释放资源。\[2\]在创建WebView时,可以在需要的时候在Activity中动态创建,并使用getApplicationgContext()作为Context参数。\[3\] #### 引用[.reference_title] - *1* *2* *3* [AndroidWebview交互](https://blog.csdn.net/lizhichao628/article/details/119885782)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值