Android之WebView安全

最新推荐文章于 2023-01-07 19:00:00 发布
最新推荐文章于 2023-01-07 19:00:00 发布
阅读量764 收藏
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010343650/article/details/104118393
版权
本文探讨了Android WebView存在的安全问题,包括通过Content Provider、Activity导出和SQLite数据库的攻击途径,重点分析了addJavascriptInterface的远程代码执行漏洞,以及WebView的文件系统访问、SQLite查询、证书错误处理、域控制不严格等安全隐患。建议开发者采取措施,如禁用不必要的接口,修复证书错误处理,严格控制文件访问权限,以增强WebView的安全性。
摘要由CSDN通过智能技术生成

本地攻击

(1)Content Provider

         SQL注入、实现openFile函数导致目录遍历

(2)Activity的导出、劫持问题

        私有组件错误导出

(3)SQLite数据库

       SQL注入、load_extension代码执行

 

1.WebView安全

Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外,还可利用HTML5的丰富交互效果和多媒体功能,直接开发App界面逻辑。  由于其复杂的功能实现和可访问远程内容的能力,可用于实现远程攻击。

(1)addJavascriptInterface远程代码执行漏洞

(2)hybrid Api设计不当

(3)未禁止记住密码

(4)忽略页面证书错误

(5)客户端跨站脚本

(6)允许file://协议访问

1.1 addJavascriptInterface

最常见的Javascript与Java层的通信方式。通过注入Java对象到WebView的javascript上下文,提供给页面访问本地代码的能力。

class JsObject{

@addJavascriptInterface

public String toString(){return "injectedObject";}

webView.addJavascriptInterface(new JsObject(), "injectedObject");

webView.loadData("", "text/html", null);

webView.loadUrl("javascript:alert(injectedObject.toString())");

(1)在Java中存在反射机制,可通过包名和类名获取Class实例,并通过方法名实现动态函数调用

(2)在Android2.1至4.1的所有版本中,使用addJavascriptInterface注入到WebView的Java对象可以利用继承的getClass方法,结合反射机制实现任意代码执行。

(3)漏洞具有可远程触发,利用稳定、影响版本广泛,无需适配等特性,是Android最为严重的攻击面。

网页挂马利用

for(var obj in window){
			try{
				if("getClass" in window[obj]){
					try{
						window[obj].getCla
最低0.47元/天 解锁文章
laymenISmouse
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 浏览器跳转app_移动端APP内嵌H5怎么防外链打开?
weixin_35978903的博客
12-25 869
移动端APP内嵌H5怎么防外链打开?APP内嵌页面可被抓包获取链接然后在浏览器打开,这样安全性就会有问题了。涉及到用户的个人信息泄露、被盗取等一系列的问题。起初后端说让我在接口的RequestHeaders里的User-Agent里面追加字段,百度一下User-Agent原来是发现浏览器标识,怎么哪里感觉不对劲,尝试着修改User-Agent,加了半天也没加上。发现它并不是很好玩,兼容性...
Android实现WebView点击拦截跳转原生
08-19
Android 中,WebView 是一个常用的控件,用于显示网页内容。但是,WebView 中的点击事件默认情况下无法被拦截和处理。为了实现点击事件拦截,需要使用 WebViewClient 对象,并重写 shouldOverrideUrlLoading 方法...
Android安全开发之WebView中的大坑
zhangcanyan的博客
07-17 2万+
0X01 About WebView      在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行
Android WebView安全方面的一些坑
qq_53058639的博客
01-07 300
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
WebView 远程代码执行漏洞浅析
别了高山
09-02 1682
DroidSec转载资料 bydroidsec 1. WebView 远程代码执行漏洞描述 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJava
Android安全检测 - WebView远程代码执行漏洞(CVE-2012-6336)
qq_35993502的博客
09-22 2439
这一章我们来学习“WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统并没有对注册Java 类的方法调用的限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1
Android_WebView安全攻防指南2020.pdf
08-11
以下是一份详细的Android WebView安全攻防指南,涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**:在Android 4.4之前,系统中的...
Android WebView 优化之路
09-02
10. **更新WebView组件**:定期更新WebView组件,以利用最新的性能改进和安全修复。 通过以上优化措施,可以显著改善Android应用中WebView的性能、稳定性和用户体验。但要注意,每个应用都有其特定需求,优化策略应...
Android APP之WebView校验SSL证书的方法
08-29
Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制。SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 ...
androidwebView的登录实例
08-26
Android开发中,WebView是一个非常重要的组件,它允许我们在应用程序中加载和显示网页内容。本实例将详述如何使用Android Studio 3.1.2版本,通过WebView来创建一个简单的登录界面,该界面使用本地HTML页面进行...
关于AndroidWebView远程代码执行漏洞浅析
08-27
主要给大家介绍了关于AndroidWebView远程代码执行漏洞的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
android WebView详解,常见漏洞详解和安全源码(下)
Shawn_Dut的专栏
02-13 1万+
上篇博客主要分析了 WebView 的详细使用,这篇来分析 WebView 的常见漏洞和使用的坑。   上篇:android WebView详解,常见漏洞详解和安全源码(上)   转载请注明出处:http://blog.csdn.net/self_study/article/details/55046348   对技术感兴趣的同鞋加群 544645972 一起交流。WebView 常见漏洞
Android中的WebView组件安全
nextdoor6的博客
08-23 2912
WebView组件介绍和使用 第一部分 WebView组件远程代码执行漏洞 第二部分 WebView绕过证书校验漏洞 第三部分 WebView明文存储密码风险 WebView组件系统隐藏接口漏洞 WebView File域同源策略绕过 WebView外部URl可控
Android webview安全策略) 出现 您要访问的网站包含有害应用
u010207898的博客
04-12 7188
在使用 WebView 加载某些网页时,遇到以下的安全警告红屏。 这是 WebView安全浏览保护策略,在 Android 8.0(API Level 26)开始的默认策略,被应用在所有 App 的 WebView 当中。 Google 会自己维护一套“不安全”网站的列表,并通过 Google Play 服务,同步到所有的设备上。当你要访问某些被标记为“不安全”的网站时,它就会以...
android webview 与 javascript交互
xiongyingzhuantu的专栏
05-03 3101
<br />webview与javascript交互实现图文混排效果,感觉还不错!<br />直接上demo吧。<br />demo1:<br />template.html<br /><br /><html><br /><head><br /></head><br /><script><br />function load_title(title) {<br />  var t = document.getElementById("title");<br />  t.innerHTML = title;<
WebView新增安全功能
听海的博客
06-09 2656
许多应用都使用WebView来处理不受信任的内容,多年来,我们对 Android 进行了许多改进,保护它和您的应用免受侵害。借助 Android Lollipop,我们开始以独立 APK 的形式提供 WebView,每隔六周在 Play 商店中更新一次,从而能够快速进行重要修复。我们在最新版的 WebView 中增加了多项重要的安全升级。 在 Android O 中隔离渲染器进程...
AndroidWebView安全漏洞问题
qq_30885821的博客
03-18 413
参考: https://blog.csdn.net/carson_ho/article/details/64904635 https://blog.csdn.net/qq_42014702/article/details/100899046 https://blog.csdn.net/feather_wch/article/details/82292061 webview常见的坑 (任意命令执行漏洞) API <= 16时,WebView.addJavascriptInterface()有安全
com google android webview
最新发布
12-03
通过使用com.google.android.webview,开发者可以在应用程序中灵活地集成Web浏览功能,同时还可以享受到Chromium浏览器的先进性能和安全性。它不仅可以为用户提供高质量的Web浏览体验,还可以为应用程序增加更多的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值