android web安全问题,Android WebView常见的安全漏洞和解决方案

最新推荐文章于 2024-08-16 10:34:04 发布
最新推荐文章于 2024-08-16 10:34:04 发布
阅读量930 收藏 2
点赞数
文章标签: android web安全问题

概述

WebView中安全漏洞有三种,分别是:

远程代码执行漏洞

密码明文存储漏洞

域控制不严格漏洞

下面依次分析各漏洞产生的原因以及解决方案

一、远程代码执行漏洞

1、WbView中addJavascriptInterface()接口

产生原因:

Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法。 通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接与本地的Java接口进行交互。就有可能出现手机被安装木马程序、发送扣费短信、通信录和短信被窃取、获取本地设备的SD卡中的文件等信息,从而造成信息泄露,甚至手机被远程控制等安全问题。

当JS拿到Android这个对象后,通过Java反射机制,就可以调用这个Android对象中所有的方法,包括系统类(java.lang.Runtime类),从而进行任意代码执行。

Android中的对象的getClass()可以获取到当前类Class,当前类Class的forName()可加载java.lang.Runtime类,从而得到Runtime类,而Runtime是可以执行本地命令的。

解决方案:

如果一定要使用addJavascriptInterface接口,需使用以下方法:Android4.2以上,允许被JavaScript调用的方法必须以@JavascriptInterface进行注解声明,从而避免漏洞攻击。Android4.2以下,采用setWebChromeClient重新onJsPrompt()拦截prompt()消息进行交互。

2、WebView内置导出的searchBoxJavaBridge_对象和内置导出的accessibility和accessibilityTraversalObject对象

产生原因

在Android 4.4 以下的系统中存在一共三个有远程代码执行漏洞的隐藏接口。分别是位于android/webkit/webview中的“searchBoxJavaBridge”接口和android/webkit/AccessibilityInjector.java中的“accessibility”接口和“accessibilityTraversal”接口。调用此三个接口的APP在开启辅助功能选项中第三方服务的Android系统上将面临远程代码执行漏洞。

解决方案

在创建WebView时使用 webView.removeJavascriptInterface(String name)方法移除searchBoxJavaBridge、accessibility、accessibilityTraversal这三个接口。

二、密码明文存储漏洞

产生原因

WebView默认开启密码保存功能 :mWebView.setSavePassword(true) 开启后,在用户输入密码时,会弹出提示框:询问用户是否保存密码; 如果选择”是”,密码会被明文保到 /data/data/com.package.name/databases/webview.db 中,这样就有被盗取密码的危险。

解决方案

通过 WebSettings.setSavePassword(false) 关闭密码保存提醒功能,防止明文密码存在本地被盗用。

三、域控制不严格漏洞

产生原因

将该WebViewActivity 在Mainifest.xml设置android:exported=”true”表示:当前Activity是否可以被另一个Application的组件启动。

例如:

A应用可以通过B应用导出的Activity(android:exported=”true”),让B应用加载一个恶意的file 协议的url,从而可以获取B应用的内部私有文件,从而带来数据泄露威胁。

同源策略跨域访问:对私有目录文件进行访问

针对 IM 类产品,泄露的是聊天信息、联系人等等

针对浏览器类软件,泄露的是cookie 信息泄露。

WebView 默认是可以使用 File 协议的,也就是setAllowFileAccess(true)。 所以我们应该是主动设置为 setAllowFileAccess(false),防止加载应用本地文件,移动版的 Chrome 默认禁止加载file协议的文件。

如果不允许使用 file 协议,则不会存在上述的威胁,但同时也限制了WebView的功能,使其不能加载想要加载的本地html文件。

解决方案

对于不需要使用file协议的应用,禁用file协议,setAllowFileAccess(false); 对于需要使用 file 协议的应用,允许file协议加载 JavaScript。

总结

以上就是WebView中三种安全漏洞:任意代码执行漏洞、密码明文存储漏洞、域控制不严格漏洞,一般都出现在低版本里,如果App支持最小版本为4.4,则任意代码执行漏洞就不复存在了。

浩浩耗
关注
AndroidWebView安全
laymenISmouse的专栏
01-30 857
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
Android WebView安全讨论
com360的专栏
08-11 5433
Android WebView安全问题相信大家都遇到过,今天我专门开一个帖子和大家讨论一下如何 正确的对待WebView安全问题。我提出的解决方式也许不是最好的,可能还会有很多其他的更好的解决方案,我在这里也仅仅是抛砖引玉,希望大家能提出更好的解决方案出来,能让大家在讨论中都能获益。 下面我先抛出两个WebView的主要问题 (1)关于Javacript和Java通信的桥的问题。 (
WebView常见安全漏洞
最新发布
challenge51all的专栏
08-16 470
例如,假设一个应用通过 WebView 展示用户生成的评论,如果不对评论内容进行清理和编码,恶意用户可能在评论中插入 XSS 脚本。不安全的证书验证:如果 WebView 没有正确验证服务器证书,可能导致与不安全的服务器建立连接,造成数据泄露。输入验证和清理:对用户输入到 WebView 中的数据进行严格的验证和清理,去除可能包含的恶意脚本代码。编码输出:对从服务器端传递到 WebView 的数据进行适当的编码,防止恶意脚本的注入。头来限制网页可以加载的资源类型和来源,减少潜在的攻击面。
AndroidWebView安全漏洞问题
qq_30885821的博客
03-18 459
参考: https://blog.csdn.net/carson_ho/article/details/64904635 https://blog.csdn.net/qq_42014702/article/details/100899046 https://blog.csdn.net/feather_wch/article/details/82292061 webview常见的坑 (任意命令执行漏洞) API <= 16时,WebView.addJavascriptInterface()有安全
Android WebView安全方面的一些坑
yy1715713348的博客
01-16 1158
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
Android中的WebView组件安全
nextdoor6的博客
08-23 2969
WebView组件介绍和使用 第一部分 WebView组件远程代码执行漏洞 第二部分 WebView绕过证书校验漏洞 第三部分 WebView明文存储密码风险 WebView组件系统隐藏接口漏洞 WebView File域同源策略绕过 WebView外部URl可控
AndroidWebView常见问题解决方案汇总
01-20
然而,使用WebView时会遇到一些常见问题,以下是一些问题及其解决方案: 1. **自定义错误显示界面**: 当WebView加载页面失败时,系统默认的错误处理可能不够友好。通过覆写`WebViewClient`中的`onReceivedError...
AndroidWebView安全漏洞解决方案.docx
10-26
### Android WebView 安全漏洞解决方案 #### 一、引言 随着移动互联网的发展,WebView 成为安卓应用程序中不可或缺的一部分,用于加载和显示 Web 页面。然而,近年来不断曝出的安全漏洞给开发者带来了挑战。本文...
AndroidWebView无法后退和js注入漏洞的解决方案
09-02
总的来说,处理WebView的后退问题和JavaScript注入漏洞需要对AndroidWeb开发有深入理解。对于后退问题,可以通过调整重定向逻辑或自定义历史栈来解决;而对于安全问题,及时更新WebView组件,启用安全设置,并与...
Android WebView或手机浏览器打开连接问题解决办法总结
08-31
记住,务必在使用WebView时考虑到用户隐私和安全问题,例如启用JavaScript、禁用不受信任的网络请求,以及考虑添加SSL证书支持以确保数据传输的安全性。同时,适时更新WebView组件,以获取最新的安全补丁和性能优化...
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
Android_WebView安全攻防指南2020.pdf
08-11
1.WebView攻击⾯ 2.WebView配置与使⽤ 3.WebViewURL校验 4.WebView安全防御 5.总结 WebView已成为Android App中最容易出现重大漏洞的薄弱环节。为此,本次峰会上,何恩基于自身漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型及其利用手法,从而获得安全编程方面的指南。
WebView 安全
weixin_44499245的博客
01-13 291
详见 http://mp.weixin.qq.com/s?__biz=MzAwMjg1NTI2Nw==&amp;mid=503036342&amp;idx=1&amp;sn=e4e94d8f07a14436d422f0ddeab3132b&amp;chksm=02cb01ba35bc88ac8aa0246a7442480ac4c5dc05df7b052446e7415b669bab87204fc...
webview 安全漏洞
suo172的博客
09-20 504
webview 安全漏洞 api 16 (android 4.1)以前存在远程执行安全啊漏洞,原因 没有正确限制使用webview.addJavaScriptInterface,攻击者通过反射利用漏洞执行Java代码 webview 动态在布局中调用:写在容器中时候, 主要是内存泄露问题,webview没有及时销毁. 需要在aty销毁的时候,先吧webview在容器中销毁,再调用webvi...
Android WebView中存在的安全漏洞
bigfc的博客
03-31 2751
开发中常见且需要注意的WebView安全漏洞解决方案 1.解决 CVE-2014-1939 漏洞 Android 4.4 之前版本webkit中内置了"searchBoxJavaBridge_"接口。攻击者可以通过访问searchBoxJavaBridge_接口利用该漏洞执行任意代码。 解决方案webView.removeJavascriptInterface("searchBoxjavaBridge_"); 2.解决 CVE-2014-7224 漏洞 Android 4.4之前的版本webview
WebView JS安全问题
小酷陪你玩安卓
02-12 1115
通常我们都可以使用JS调用java的代码,但在android4.2之前这存在着安全隐患,JS可以通过注入的方式调用java的函数。 这里看一下乌云漏洞的一个例子:点击打开链接 1,WebView添加了JavaScript对象,并且当前应用具有读写SDCard的权限,也就是:android.permission.WRITE_EXTERNAL_STORAGE 2,JS中可以遍
[车联网安全自学篇] Android安全WebView攻防「基础篇」
橙留香Park的博客
04-15 641
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大少走了弯路,也就错过了风景,无论如何,感谢经历开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解在And
WebView安全漏洞问题
qq_27623401的博客
02-17 604
一、WebView常见的一些坑        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。          2、webview在布局文件中的使用:webview写在其他容...
Android WebView问题解决:自定义错误页面与混合APP实践
本文主要探讨了在Android应用中使用WebView组件时常见问题及其解决策略,尤其是在混合型app开发中,WebView作为一个重要的工具,用于展示网页内容并与原生应用功能结合。作者分享了自己在实践中遇到的问题,并提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值