java webview js 安全,webview 漏洞 addJavascriptInterface 漏洞(高风险),求解决

最新推荐文章于 2024-06-27 14:04:05 发布
最新推荐文章于 2024-06-27 14:04:05 发布
阅读量438 收藏
点赞数
文章标签: java webview js 安全

以下是安全部门检测出的hbuilder打包的app的漏洞,集成了个推,给出了解决方案无从小手啊,

好像只有hbuilder开发者才能改把,这个代码时hbuilder帮我们集成的,有谁解决了吗,请指教!!

webview 漏洞(高风险)

问题描述:在webView 下有一个非常特殊的接口函数addJavascriptInterface,能

实现本地java 和js 的交互。被测应用中存在WebView 漏洞,没有对注册JAVA

类的方法调用进行限制,导致攻击者利用addJavascriptInterface 这个接口函数穿

透webkit 控制android 本机。

漏洞地址:

以下危险api 可通过webview 对象向页面javascript 导出java 本

地接口,可能导致任意命令执行

com\igexin\push\extension\distribution\basic\k\i.java|void

j()|d.addJavascriptInterface(new PushWebExtension(b, e), "sdk");

io\dcloud\common\adapter\ui\AdaWebview.java|void

addJsInterface(String paramString, IJsInterface

paramIJsInterface)|mWebViewImpl.addJavascriptInterface(paramIJs

Interface, paramString);

io\dcloud\common\adapter\ui\AdaWebview.java|void

addJsInterface(String paramString, Object

paramObject)|mWebViewImpl.addJavascriptInterface(paramObject,

paramString);

io\dcloud\common\adapter\ui\AdaWebview.java|void

addJsInterface(String paramString1, String

paramString2)|mWebViewImpl.addJavascriptInterface(paramString2,

paramString1);

io\dcloud\common\adapter\ui\WebViewImpl.java|void

addJavascriptInterface(Object paramObject, String

paramString)|super.addJavascriptInterface(paramObject,

paramString);

com\igexin\push\extension\distribution\basic\k\i.java

修复建议:

Android 4.2 之前版本对addJavascriptInterface 的输入参数进行过滤;

Android 4.2 及之后版本, 使用声明@JavascriptInterface 来代替

addjavascriptInterface。

控制相关权限或者尽可能不要使用js2java 的bridge。

米喜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android4.2下 WebViewaddJavascriptInterface漏洞解决方案
zhouyongyang621的专栏
07-22 1万+
最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org)报告出来的。 mWebView.addJavascriptInterface(new JSCallManager(), "Native"); 向WebView注册一个名叫“Native”的对象,然后在JS中可以访问到Native这个对象,就可以调用这个对象的一些方法
android 连续调用js方法,Android的WebView中的JavascriptInterface:对JS的多次调用会导致死锁...
weixin_30475939的博客
05-25 744
这是我用过的整个Java代码。我将在下面更详细地解释...public class Test7 extends Activity {//debugprivate final static String TAG = "JSInterface";private WebView wv;private class JSInterface {private WebView wv;// Variables t...
APP webview JavascriptInterface安全
balance的博客
07-05 1752
一、Android webview1.1 Android4.2版本之前WebView.addJavascriptInterface存在反射调用执行任意命令漏洞。要利用成功,首先需要Android版本低于4.2(相当少,设置minSdkVersion为17可避免运行在低版本机器),然后该webview能打开恶意网页(扫码、url scheme、动态内容,均有可能产生站外链接,但一般app不会打开站外...
WebViewJavaScriptBridge的基本使用方式
最新发布
MIILN的博客
06-27 1267
WebView的常用方法和JS桥的基本使用方式,以及一个简单的demo示例
在 Android WebView 中实现和 JavaScript 的互操作
sinat_17133389的博客
12-10 737
有两个参数。其中 object 即需要提供给 js 调用的对象。在 Android 4.1.2 (API 16) 以下时,js 可以调用该对象的所有公开方法;在 Android 4.2 (API 17)以上时, js 只能调用添加了注解的公开方法。之所以会有这样的改动,是因为在 API 16 之前可以调用所有公开方法具有安全隐患,例如可以利用 jave 的反射机制实现任意命令的执行。interfaceName 即 js 调用时的接口名称。我们可以通过 webview 的。
解决addJavascriptInterface混淆的bug
windownew11的专栏
08-01 2075
现在android下应用开发的界面用html5+css3写,交互用javascriptjava沟通,但是用上混淆后发现javascript调用java类定义的方法老说找不到这个方法。 一番折腾后发现是用proguard混淆后java定义的类变了名字,不仅如此,这个类定义的方法不知所踪,所以才导致javascript找不到这个方法。 假设我们定义的java类为: 点击
Android webviewjs互相调用实现方法
01-20
例如,在`WebViewActivity`的Java代码中,我们可以这样调用JavaScript: ```java webView.loadUrl("javascript:jsCallAndroid()"); ``` 这段代码将会执行网页中定义的`jsCallAndroid`函数。 其次,JavaScript调用...
android中WebView回调js的方法
10-29
有时候,我们不仅需要在Android代码中调用JavaScript,还需要让JavaScript能够反过来调用Android的Java方法,这种交互被称为"WebViewJavaScript的互调"。本文将深入探讨在Android中如何实现WebView回调JavaScript...
Android原生WebView与网页js相互调用
04-09
需要注意的是,addJavascriptInterface存在安全风险,恶意的JavaScript代码可能滥用暴露的接口。因此,从Android 4.2(API级别17)开始,@JavascriptInterface注解被引入,只有带有该注解的方法才能被JavaScript调用...
Android 和 javascript 交互 Android混合开发之WebViewJavascript交互
03-27
由于JavaScriptInterface安全风险,所有暴露给JavaScript的方法都应添加`@JavascriptInterface`注解,并从API 17开始启用`android.webkit.WebView.setJavaScriptEnabled(true)`时启用`@JavascriptInterface`注解的...
Android WebView交互传递json字符串并解析的方法
08-27
此外,由于`addJavascriptInterface()`可能存在安全风险,如XSS攻击,因此在API 17及更高版本中,应使用`@JavascriptInterface`注解来限制JavaScript的访问权限。 总结一下,Android WebViewJavaScript交互传递...
addJavascriptInterface方法示例
01-26
addJavascriptInterface方法示例,JavaScript与Android端相互交互方法示例。
WebViewjs交互总结
wandryoung的博客
08-06 1701
【参考:】 Android webviewjs 交换JSON对象数据 使用Kotlin:让Android与JS交互的详解 js中eval()的使用说明 简介 使用 WebView 加载网页,有时候需要进行js交互,相互传递数据和响应事件。 android 调用 js 代码: WebView#loadUrl("javascript:func('" + arg + "')") WebView#evaluateJavascript(String script, @Nullable ValueCallbac
android addjavascriptinterface 漏洞,Android WebView组件addJavascriptInterface方法远程命令执行漏洞...
weixin_32757449的博客
06-04 465
发布日期:2013-09-05更新日期:2013-09-07受影响系统:Android Android < 4.2描述:--------------------------------------------------------------------------------Android的SDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。WebView组件...
WebView 安全addJavascriptInterface
weixin_30699235的博客
02-26 565
WebView是Android平台下的一个重要组件,通常用来在Activity中嵌入一个简单的浏览器,实现在线网页浏览的功能。比如下面代码实现访问Google页面: WebView webView = new WebView (R.id.webView1); webView.getSettings().setJavaScriptEnabled(true); webView....
WebView在API 17后调addJavascriptInterface方法无效的解决办法
小小程序员
03-30 1230
Android4.2 以前WebView 提供了JavaScript 调用Java代码的方法,会造成很大的安全漏洞。Android官方在API 17后,限制javascript代码只能调用声明了@JavascriptInterface 注解的Java方法。 所以必须要给每个可供js代码调用的Java方法加一个@JavascriptInterface接口。 class
WebViewaddJavascriptInterface接口的隐患解决方案
dxcn2015的博客
05-10 5281
我们很多时候要使用WebView来展示一个网页,现在很多应用为了做到服务端可控,很多结果页都是网页的,而不是本地实现,这样做有很多好处,比如界面的改变不需要重新发布新版本,直接在Server端修改就行了。用网页来展示界面,通常情况下都或多或少都与Java代码有交互,比如点击网页上面的一个按钮,我们需要知道这个按钮点击事件,或者我们要调用某个方法,让页面执行某种动作,为了实现这些交互,我们通常都是使
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
深度解析Android WebView:定制与安全实践
然而,这种方法存在一定安全风险,因为恶意的JavaScript代码可能滥用这些接口。因此,如果使用了addJavascriptInterface,务必确保对暴露的对象进行安全封装,并遵循最佳实践来防止跨站脚本攻击(XSS)。 5. 处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值