Android静态安全检查(十五):WebView明文密码存储检测

最新推荐文章于 2024-06-03 19:38:15 发布
最新推荐文章于 2024-06-03 19:38:15 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: Web安全 文章标签: Android webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010889616/article/details/80992890
版权

明文密码存储

Android的WebView组件默认打开了提示用户是否保存密码存储功能,如果用户选择了保存,用户名和密码就会被明文存储到该应用的database/webview.db文件中。明文存储的用户名和密码,不仅会被该应用随意的获取,其他的恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,窃取用户的用户名和密码,导致信息泄露。

检测方法

因为webview默认开启的密码保存功能。首先检测是否有webview.loadUrl()方法,如果有则再看是否有显式的mWebView.setSavePassword(false),关闭密码保存功能,如果没有,则有明文密码存储风险。

修复方法

在使用到webview的地方调用setSavePassword方法,关闭密码保存功能。

mWebView.setSavePassword(false)

dmfrm
关注
专栏目录
Android静态安全检测 -> WebView明文存储密码
4lwin博客
06-16 9370
WebView明文存储密码 - WebSettings.setSavePassword方法 1. API 继承关系 java.lang.Object android.webkit.WebSettings 主要方法 setJavaScriptEnabled(boolean flag):是否支持js setPluginsEnabled(
webview测试Demo
12-07
使用webview控件打开网页!
Java EncryptionUtils 工具类
光束云
02-15 471
原文地址:http://www.work100.net/tools/code-java/encryption-utils.html 更多教程:光束云 - 免费课程 EncryptionUtils Java 中加密解密操作工具类。 主要功能特性: 对文本进行不可逆加密 支持多种加密方式:MD5、SHA256 密码加密自动加入Salt 源码如下: import org.apache.c...
WebView明文存储密码风险描述及解决方案
chichengjunma的专栏
07-21 3386
Android WebView测试
测试开发小记
01-22 1811
混合应用中包含 Web 视图的应用,在 App自动化测试 | Appinum 介绍及环境安装 中介绍了appium支持WebView测试,本文将分享Android 混合页面的测试方法。 WebView测试环境准备 手机端 被测浏览器: iOS:Safari Android:Chrome,Chromium,Browser (自带浏览器) PC端 安装 Chrome浏览器(或chromium),可以访问https://www.google.com 下载手机浏览器webview版本对应的 driver
android webview测试
weixin_37913516的博客
05-20 703
多架构支持 纯webviewwebview测试(只测试浏览器)的环境准备 手机端 被测浏览器:(不可以是第三方浏览器)safari for ios and chrome,chromium,or browser for Android PC端 安装chrome浏览器或者chromium,并且能登录 https://www.google.com/ 下载对应手机浏览器对应的driver – 国内镜像地址:https://npm.taobao.org/mirrors/chromedriver/ – ap
Android应用安全检测项目
苛学加记事
07-08 7082
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
Android学习笔记:Android基础知识点(不断更新中)
热门推荐
浩比的专栏
10-28 2万+
1、Android系统的四大组件分别是:活动(Activity)、服务(Service)、广播接收器(Broadcast Receiver)、内容提供器(Content Provider)。 2、定义一个应用程序名的字符串,有以下两种方式来引用它:
APP漏洞之WebView File域同源策略绕过漏洞
xiaoi123的博客
04-03 1795
i春秋作家:MAX丶基本知识Android架构Kernel内核层 漏洞危害极大,通用性强 驱动由于多而杂,也可能存在不少漏洞Libaries系统运行库层系统中间件形式提供的运行库 包括libc、WebKit、SQLite等等AndroidRunTime Dalvik虚拟机和内核库FrameWork应用框架层 提供一系列的服务和API的接口活动管理器内容提供器视图资源管理器通知管理器Applicat...
Android开发常见安全漏洞总结
Sander Lee
04-24 5491
目录WebView组件远程代码执行漏洞addJavascriptInterface接口解决方案searchBoxJavaBridge_接口解决方案accessibility 和 accessibilityTraversal解决方案WebView跨域访问漏洞解决方案WebView组件忽略SSL证书验证错误漏洞解决方案WebView密码明文保存漏洞解决方案本地端口开放越权风险解决方案Content P...
Android应用的基本构造及威胁(apk)
最新发布
墨痕诉清风的博客
06-03 1452
web应用是通过使用javaScript、HTML5等web技术来实现交互、导航以及个性化功能的。web应用可以在移动端设备的web浏览器中运行,并通过向后台服务器请求web页面来进行渲染。一个web应用可以有浏览器渲染的版本,也可以有作为独立应用的版本。安卓使用了类似Unix中的文件系统来进行本地数据存储,用到的文件系统有十几种,如FTA32、EXT等。事实上,安卓系统中的一切都是文件。安卓在filesystems这个文件中存储了许多详细的信息,比如内置应用等。
Android安全】WebView密码明文保存漏洞
dodod2012的专栏
01-08 2269
原文地址:http://wolfeye.baidu.com/blog/webview-setsavepassword/ 漏洞描述 在使用WebView的过程中忽略了WebView setSavePassword,当用户选择保存在WebView中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的
Webview相关测试(功能+性能)
qq_40132294的博客
10-21 1万+
App在执行自动化测试的时候,有时候碰到webview组件,通过appium inpector或者SDK自带的uiautomatorviewer都无法定位webview组件中的元素,这个时候通常需要浏览器开发工具来协助定位. 常见的3中定位方式: 1.在脚本中通过driver.getPageSource方法将整个页面中的内容下载为一个html文件,然后打开该html文件,利用浏览器的开发者工具定位. 2.模拟器中打开对应的webview页面,利用chrome devto......
android webview版本检测
u010559573的专栏
01-10 4989
输入指令:adb shell am start -a android.intent.action.VIEW -d https://liulanmi.com/labs/core.html
Android Webview明文存储密码风险
糖小七_Zz的博客
05-12 1840
测评目的 检测App应用的Webview组件中是否使用明文保存用户名及密码。 危险等级 高 危害 AndroidWebview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。 测评结果 存在风险(发现4处) 测评结果...
检测webView的最后一次跳转
分享+记录
01-24 2355
简单的看了一遍API,没有发现webView的方法中有检测最后一次跳转的方法,确实也是,这个也确实不好检测。只要自己简单写一个了,也许会有很多的漏洞,不过勉强还是可以使用的。 原理就是重写WebViewClient中的onPageStarted和onPageFinished方法。 每次Finished的时候调用一个线程来监听若干秒之后是否有新的加载,如果没有,则是最后一次跳转。如果有,则在st
Android webview记住账号密码
kang995066277的博客
03-17 7475
好累,不想说话。private void syncCookie(String url) { try{ CookieSyncManager.createInstance(this); CookieManager cookieManager = CookieManager.getInstance();
[Android实例] 关于webview如何自动登录保存登录信息
rongwenbin的专栏
10-10 1201
用户名密码登录验证后保存Session ? [java] view plaincopy // 你的URL                  HttpPost httppost = new HttpPost(Constants.ServerUrl.WEB_URL + url);                  try {                    
Android 关于WebView加载H5禁用记住密码对话框
不二菜菜子的博客
07-14 1522
Android 关于WebView加载H5禁用记住密码对话框
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dmfrm

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值