Android WebView安全方面的一些坑

已于 2024-01-19 10:58:27 修改
阅读量330 收藏
点赞数
文章标签: android 安全 webview
于 2023-01-07 19:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/128588776
版权
文章讨论了一款两年未更新的AndroidApp在第三方网络安全扫描后发现的安全问题,主要涉及WebView的隐藏接口、addJavascriptInterface漏洞、绕过证书校验和File域同源策略。提供了针对这些问题的修复方案,包括移除隐藏接口、限制JavaScript交互、正确处理SSL错误和禁用文件访问。
摘要由CSDN通过智能技术生成

公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款Android app也未能幸免…

因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了webview+html混合开发,因此,需要解决一些webview相关的问题:

一、webview隐藏接口问题(任意命令执行漏洞)

android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_, accessibilityTraversal以及accessibility,恶意程序可以通过反射机制利用它们实现远程代码执行;该问题在Android4.4以下版本出现。 于是,在Android3.04.4之间的版本,我们通过移除这些隐藏接口,来解决该问题:

 // 194.4Build.VERSION.KITKAT// 113.0Build.VERSION_CODES.HONEYCOMBif(Build.VERSION.SDK_INT >= Build.VERSION_CODES.HONEYCOMB && Build.VERSION.SDK_INT < 19 && webView != null) { webView.removeJavascriptInterface("searchBoxJavaBridge_");webView.removeJavascriptInterface("accessibility");webView.removeJavascriptInterface("accessibilityTraversal");}

二、addJavascriptInterface任何命令执行漏洞

webview中使用jshtml进行交互是一个不错的方式,但是,在Android4.2(16,包含4.2)及以下版本中,如果使用addJavascriptInterface,则会存在被注入js接口的漏洞;在4.2之后,由于Google增加了@JavascriptInterface,该漏洞得以解决。

解决该问题,最彻底的方式是在4.2以下放弃使用addJavascriptInterface,采用onJsPrompt或其它方法替换。或者使用一些方案来降低该漏洞导致的风险:如使用https并进行证书校验,如果是http则进行页面完整性校验,如上面所述移除隐藏接口等。

 public boolean onJsPrompt(WebView view, String url, String message,String defaultValue, JsPromptResult result) {result.confirm(CGJSBridge.callJava(view, message));Toast.makeText(view.getContext(),"message="+message,Toast.LENGTH_LONG).show();return true;}

三、绕过证书校验漏洞

webviewClient中有onReceivedError方法,当出现证书校验错误时,我们可以在该方法中使用handler.proceed()来忽略证书校验继续加载网页,或者使用默认的handler.cancel()来终端加载。 因为我们使用了handler.proceed(),由此产生了该“绕过证书校验漏洞”。 如果确定所有页面都能满足证书校验,则不必要使用handler.proceed()

 @SuppressLint("NewApi")@Overridepublic void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {//handler.proceed();// 接受证书super.onReceivedSslError(view, handler, error);}

四、allowFileAccess导致的File域同源策略绕过漏洞

如果webview.getSettings().setAllowFileAccess(boolean)设置为true,则会面临该问题;该漏洞是通过WebViewJavascript的延时执行和html文件替换产生的。 解决方案是禁止WebView页面打开本地文件,即

 webview.getSettings().setAllowFileAccess(false);

或者更直接的禁止使用JavaScript

 webview.getSettings().setJavaScriptEnabled(false);
程序员小肖
关注
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
Android WebView安全讨论
com360的专栏
08-11 5424
Android WebView安全问题相信大家都遇到过,今天我专门开一个帖子和大家讨论一下如何 正确的对待WebView安全问题。我提出的解决方式也许不是最好的,可能还会有很多其他的更好的解决方案,我在这里也仅仅是抛砖引玉,希望大家能提出更好的解决方案出来,能让大家在讨论中都能获益。 下面我先抛出两个WebView的主要问题 (1)关于Javacript和Java通信的桥的问题。 (
WebView 的常见的安全漏洞:
最新发布
challenge51all的专栏
08-16 407
例如,假设一个应用通过 WebView 展示用户生成的评论,如果不对评论内容进行清理和编码,恶意用户可能在评论中插入 XSS 脚本。不安全的证书验证:如果 WebView 没有正确验证服务器证书,可能导致与不安全的服务器建立连接,造成数据泄露。输入验证和清理:对用户输入到 WebView 中的数据进行严格的验证和清理,去除可能包含的恶意脚本代码。编码输出:对从服务器端传递到 WebView 的数据进行适当的编码,防止恶意脚本的注入。头来限制网页可以加载的资源类型和来源,减少潜在的攻击面。
android WebView详解,常见漏洞详解和安全源码(上)
Shawn_Dut的专栏
02-12 1万+
这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的和最后解决相应漏洞的源码,以及针对该源码的解析。   由于博客内容长度,这次将分为上下两篇,上篇详解 WebView 的使用,下篇讲述 WebView 的漏洞和,以及修复源码的解析。   下篇:android WebView详解,常见漏洞详解和安全源码(下)   转载请注明出处:http://blog.c
AndroidWebView安全漏洞问题
qq_30885821的博客
03-18 452
参考: https://blog.csdn.net/carson_ho/article/details/64904635 https://blog.csdn.net/qq_42014702/article/details/100899046 https://blog.csdn.net/feather_wch/article/details/82292061 webview常见的 (任意命令执行漏洞) API <= 16时,WebView.addJavascriptInterface()有安全
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 916
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
Android WebView使用的技巧与一些
01-20
除此之外,开发者还应注意一些其他方面,比如网页的安全性(防止XSS攻击)、内存管理(避免内存泄漏)、性能优化(如使用`shouldOverrideUrlLoading`控制链接跳转)以及处理各种兼容性问题,这些都是在实际开发中...
Android WebView加载h5打开麦克风与摄像头的权限问题
热门推荐
主要记录一些问题处理记录,部分是作为知识库使用
06-25 1万+
Android webview h5 麦克风权限,摄像头(相机)权限实现与填
Android WebView和JS交互详细教程
技术是个累积的过程
06-29 494
我们的态度是:每天进步一点点,理想终会被实现。 前言 Android webview和JS的交互已经是老生常谈了,很多、问题也很多。即使再多的,我们很多情况下还是要使用,毕竟直接嵌入HTML可以节省开发成本、节约开发时间,以及之前很火的Android和H5混合开发。因此,今天我写了一篇Android WebView和JS交互的详细教程,以及我们的WebView我们真是项目中都有...
android 下载h5到本地,Android Webview H5资源本地化
weixin_42539414的博客
05-27 1493
Android Webview H5资源本地化一. 创建读取资源项目独立模块1. 项目依赖的好处符合模块化的思想,他们相互独立。一个项目持有另一个项目的引用,修改更加方便。(注:compile project编译引用的项目其内容必须包含有java代码、xml布局文件、AndroidManifest等,而且还要在项目的setting.gradle中用include的形式声明引用)2. 操作步骤导入项...
如何设计一个优雅健壮的Android WebView?,吊打面试官系列
m0_61417954的博客
09-08 414
} if (mIWebViewClient != null) { mIWebViewClient.onPageFinished(view, newProgress); } } } 可以看到,我们使用了`mProgressFinishThreshold`这个变量控制注入时机,这与前面提及的`当progress达到80的时候,加载出来的页面已经基本可用了`是相呼应的。 > 达到80%很容易,达到100%却很难。 正是因为这个原因,页面的进度加载到80%的时...
Android_WebView安全攻防指南2020.pdf
08-11
1.WebView攻击⾯ 2.WebView配置与使⽤ 3.WebViewURL校验 4.WebView安全防御 5.总结 WebView已成为Android App中最容易出现重大漏洞的薄弱环节。为此,本次峰会上,何恩基于自身漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型及其利用手法,从而获得安全编程方面的指南。
通过安全浏览保护 WebView
谷歌开发者
07-16 668
文 / 软件工程师 Nate Fischer自 2007 年以来,Google 安全浏览一直为网络用户提供保护,让他们免遭网络钓鱼和恶意软件的攻击。此功能为 30 多亿...
AndroidWebView安全
laymenISmouse的专栏
01-30 837
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
[车联网安全自学篇] Android安全WebView攻防「基础篇」
橙留香Park的博客
04-15 628
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大少走了弯路,也就错过了风景,无论如何,感谢经历开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解在And
WebView 安全
weixin_44499245的博客
01-13 283
详见 http://mp.weixin.qq.com/s?__biz=MzAwMjg1NTI2Nw==&amp;mid=503036342&amp;idx=1&amp;sn=e4e94d8f07a14436d422f0ddeab3132b&amp;chksm=02cb01ba35bc88ac8aa0246a7442480ac4c5dc05df7b052446e7415b669bab87204fc...
Android webview安全漏洞
网鱼的栈
05-20 501
原文链接: https://www.jianshu.com/p/3a345d27cd42 webview缓存机制,原文链接: https://www.jianshu.com/p/5e7075f4875f
android WebView详解,常见漏洞详解和安全源码
weixin_33961829的博客
02-12 168
  这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的和最后解决相应漏洞的源码,以及针对该源码的解析。  转载请注明出处:blog.csdn.net/self_study/…  对技术感兴趣的同鞋加群 544645972 一起交流。 Android Hybrid 和 WebView 解析   现在市面上的 APP 根据类型大致可以分为 3 类:Native AP...
Android WebView封装WebAPP实战与
然而,WebView在兼容性和体验上可能存在一些问题,尤其是在处理复杂的WebAPP功能时,如文件上传。 在开始使用WebView之前,我们需要了解几个关键点: 1. 权限配置: 在`AndroidManifest.xml`中,必须添加必要的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值