java webview js 安全,webview 漏洞 addJavascriptInterface 漏洞(高风险),求解决

以下是安全部门检测出的hbuilder打包的app的漏洞,集成了个推,给出了解决方案无从小手啊,

好像只有hbuilder开发者才能改把,这个代码时hbuilder帮我们集成的,有谁解决了吗,请指教!!

webview 漏洞(高风险)

问题描述:在webView 下有一个非常特殊的接口函数addJavascriptInterface,能

实现本地java 和js 的交互。被测应用中存在WebView 漏洞,没有对注册JAVA

类的方法调用进行限制,导致攻击者利用addJavascriptInterface 这个接口函数穿

透webkit 控制android 本机。

漏洞地址:

以下危险api 可通过webview 对象向页面javascript 导出java 本

地接口,可能导致任意命令执行

com\igexin\push\extension\distribution\basic\k\i.java|void

j()|d.addJavascriptInterface(new PushWebExtension(b, e), "sdk");

io\dcloud\common\adapter\ui\AdaWebview.java|void

addJsInterface(String paramString, IJsInterface

paramIJsInterface)|mWebViewImpl.addJavascriptInterface(paramIJs

Interface, paramString);

io\dcloud\common\adapter\ui\AdaWebview.java|void

addJsInterface(String paramString, Object

paramObject)|mWebViewImpl.addJavascriptInterface(paramObject,

paramString);

io\dcloud\common\adapter\ui\AdaWebview.java|void

addJsInterface(String paramString1, String

paramString2)|mWebViewImpl.addJavascriptInterface(paramString2,

paramString1);

io\dcloud\common\adapter\ui\WebViewImpl.java|void

addJavascriptInterface(Object paramObject, String

paramString)|super.addJavascriptInterface(paramObject,

paramString);

com\igexin\push\extension\distribution\basic\k\i.java

修复建议:

Android 4.2 之前版本对addJavascriptInterface 的输入参数进行过滤;

Android 4.2 及之后版本, 使用声明@JavascriptInterface 来代替

addjavascriptInterface。

控制相关权限或者尽可能不要使用js2java 的bridge。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值