webview 安全漏洞

最新推荐文章于 2024-04-05 21:40:25 发布
最新推荐文章于 2024-04-05 21:40:25 发布
阅读量489 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suo172/article/details/82791052
版权

webview 安全漏洞

  1. api 16 (android 4.1)以前存在远程执行安全啊漏洞,原因 没有正确限制使用webview.addJavaScriptInterface,攻击者通过反射利用漏洞执行Java代码

  2. webview 动态在布局中调用:写在容器中时候, 主要是内存泄露问题,webview没有及时销毁.
    需要在aty销毁的时候,先吧webview在容器中销毁,再调用webview的onDestory,才能不造成内存泄露.

  3. jsBridege: 交互的桥

  4. webview.onPageFininsh–>webChromCliend.onProgressChanged(更靠谱)
    onPageFininsh 会在webview跳转url的时候不断的调用,用另一个进行回调会好很多.

  5. 后台耗电问题:
    webview 启动会开启一些线程, 线程会在后台进行处理,使用不当会造成线程一直后台运行耗电,
    onDestory把webview销毁掉 (把虚拟机关闭掉)

  6. 硬件加速导致渲染问题:(白屏,闪烁)
    暂时关闭

关于webivew内存泄露:
(原因:webview关联aty ,但是webview内部的一些操作是在新的进程中,aty无法确定时间,生命周期不一样,webview一直持有外界的引用,不能回收,即匿名内部类持有外部类引用,导致外部类无法回收)

  1. 独立进程(开启单独进程对webview进行操作),可能涉及进程通讯(比较麻烦,但是作者推荐)
  2. 动态添加webview,对传入webview中的context使用弱引用,(动态:在布局中创建viewgroup来放置webview,aty创建的时候add进来,aty停止的时候remove掉)

推荐原因:
webview使用完毕自己干掉进程,防止内存泄露;app 主进程减少了一些内存容量.

suo172
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebView安全漏洞问题
qq_27623401的博客
02-17 578
一、WebView常见的一些坑        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。          2、webview在布局文件中的使用:webview写在其他容...
(8)客户端app安全_webview安全风险
weixin_43639443的博客
12-23 859
WebView是一个基于webkit引擎、展现web页面的控件。 (1)Webview明文存储密码风险 Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview...
Android安全检测 - WebView系统隐藏接口漏洞
qq_35993502的博客
09-24 1796
这一章我们来学习“Webview系统隐藏接口漏洞”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 CVE-2014-1939: 在java/android/webkit/BrowserFrame.java文件中,通过API addJavaScriptInterface()添加了一个SearchBoxImpl类的对象searchBoxJavaBridge_,所以攻击者可通过searchBoxJavaBridge_对象进行反射攻击,通过访问searchBoxJavaBridge_接口利用该漏洞执行任意J
Android WebView安全问题
Devil不加V
05-11 3135
Android安全问题(WebView) 因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了webview+html混合开发,因此,需要解决一些webview相关的问题: 一、webview隐藏接口问题(任意命令执行漏洞) android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_, accessibilityTraversal以及accessibility,恶意程序可以通过反射机制利用它们实现远程代码执行;该问题
webview在android8.0,解决Android8.0系统应用打开webView报错
weixin_34422394的博客
05-26 834
由于webView存在安全漏洞,谷歌从5.1开始全面禁止系统应用使用webview,使用会导致应用崩溃错误提示:Caused by: java.lang.UnsupportedOperationException: For security reasons, WebView is not allowed in privileged processes 异常信息可以看出 是在 WebViewFact...
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 905
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
WebView漏洞
jiashuai94的博客
06-21 456
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图 京东首页 上述功能是由 Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读
Android WebView漏洞总结
Venscor技术养成之路
01-08 2142
2015年就了解了这个漏洞,但只是简单的试了一下,时间一久就忘记了。导致16年无任何准备的条件下,给面试官讲这个漏洞都讲不清楚,丢人。最近学习了一下web安全相关的知识,就顺便在看了一下这个老的Webview漏洞。全程几乎没有什么干货,就当做个记录。一、几个老的CVE  CVE-2012-6336:WebView RCE漏洞原型,对于使用了Webview API:addJavaScriptInter
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞及解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
Android_WebView安全攻防指南2020.pdf
08-11
- **更新Chromium内核**:保持WebView组件的最新状态,以便修复已知的安全漏洞。 - **限制Cookie使用**:谨慎处理Cookie,防止敏感信息泄露或被利用进行跨站请求伪造(CSRF)攻击。 5. **总结** Android开发者...
Android Webview UXSS 漏洞攻防.pdf
09-18
标题中提到的“Android Webview UXSS漏洞攻防”指的是在Android移动操作系统中使用WebView组件时,所面临的一个特定的安全漏洞问题——UXSS(通用型跨站脚本攻击)。UXSS漏洞可以被攻击者利用,从而在用户不经意间...
WebView(三)—— WebView使用漏洞
xingyu19911016的博客
11-15 2547
WebView使用漏洞 WebView中,主要漏洞有三类: 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 1 任意代码执行漏洞 JS调用Android代码是通过addJavascriptInterface接口进行对象映射。 1.1 漏洞产生的原因 // java代码 public class AndroidJS extends Object { @JavascriptInterface public void hello(String msg) { System
移动安全学习笔记——Webview安全漏洞总结
0nc3的博客
02-27 3448
0x00 Webview简介 Webview交互是指App使用webview加载展示功能页面,在使用过程中会存在一些风险,导致app被攻击者利用,加载恶意代码,窃取用户信息。 0x01 file协议跨域访问 1、漏洞原理 webview控件将setAllowFileAccessFromFileURLs或setAllowUniversalAcessFromFileURLsAPI设置为true,开启了file域访问,且允许file域访问HTTP域,但是并未对file域的路径做严格限制。 2、检测方法 webv
Android WebView安全方面的一些坑
yy1715713348的博客
01-16 1060
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
【移动安全】对webview漏洞的一些分析
question55的博客
04-05 964
if (getIntent().getExtras().getBoolean("is_reg", false)) { //根据传入的Intent中的参数,加载不同的URL。如果"is_reg"参数为true,则加载本地资源"registration.html",否则加载从Intent中传入的URL。//允许js代码与android应用交互。//可以恶意构造url。
WebView使用漏洞
qq_39431405的博客
02-07 936
webview使用漏洞
【浏览器插件】智译网页翻译 自动翻译 双语对照 AI对话.zip
最新发布
08-21
智译网页翻译插件,由新译科技精心打造,是一款智能化的网页翻译利器。当您浏览网页时,它能够自动识别页面语言,并迅速将其翻译成您预设的目标语言。支持双语对照、自动翻译、划词翻译,让您在浏览外文网站时,信息一目了然。 AI助手LangGPT的加入,让智译更进一步。它不仅能自动总结页面内容,还能与您自由对话,高效便捷地获取所需信息。智译支持包括英语、俄语、德语、法语、西班牙语等在内的十数种语言与中文的互译,无论是欧美语言还是亚洲语言,甚至是少数民族语言,都能轻松应对。 无论是查阅资料、浏览新闻还是在线购物,智译都能助您一臂之力,节省时间,提升效率。使用起来也非常简单: 1. 自动翻译的开启与关闭:在设置页面,选择“自动翻译为”选项,即可在打开网页时自动翻译。若不需要自动翻译,关闭此选项即可,也可以点击右下角功能条上的“译”按钮手动翻译。 2. 双语对照翻译的开启与关闭:在设置页面,打开“双语对照模式”,新开或刷新页面后,翻译触发,页面将同时展示原文与译文。点击智译图标可切换查看模式,还可以自定义显示样式。 3. 划词翻译的开启与关闭:在设置页面,启用“启动划词翻译”,即可在页面上划选
"Drozer使用手册:Android设备安全漏洞测试框架详解
Drozer是一个在Android设备中帮助开发人员和测试人员确定安全漏洞的工具。它的出现是为了简化Android应用程序或设备的安全评估过程,避免了创建大量自定义应用程序来测试漏洞的繁琐工作。本手册通过详细的中文说明和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值