android addjavascriptinterface 漏洞,Android WebView组件addJavascriptInterface方法远程命令执行漏洞...

最新推荐文章于 2021-06-04 06:43:52 发布
最新推荐文章于 2021-06-04 06:43:52 发布
阅读量485 收藏
点赞数
文章标签: android addjavascriptinterface 漏洞

发布日期:2013-09-05

更新日期:2013-09-07

受影响系统:

Android Android < 4.2

描述:

--------------------------------------------------------------------------------

Android的SDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互。

WebView组件中的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可对Android移动终端进行网页挂马从而控制受影响设备。

链接:http://50.56.33.56/blog/?p=314

http://drops.wooyun.org/papers/548

http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface%28java.lang.Object

*>

建议:

--------------------------------------------------------------------------------

临时解决方法:

对于应用厂商:

<1> 确保只在访问可信页面数据时才使用addjavascriptInterface。

<2> 在调用Java对象方法前对参数进行检查,避免执行恶意操作。

<3> 对于在4.2(API 17+)系统运行的应用,使用JavascriptInterface代替addjavascriptInterface。

<4> 限制对于该接口的使用来源,只允许可信来源访问该接口。例如使用WebViewClient中的shouldOverrideUrlLoading()来对加载的URL进行检查。

对于终端用户:

<1> 关注应用厂商更新情况,尽快升级应用程序到最新版本。

<2> 在厂商修补前,用户应尽量避免使用应用浏览不可信的网页链接和邮件。

厂商补丁:

Android

-------

Android官方已提醒此功能是有安全风险的,在可能访问不可信网页内容时需要小心处理。

Android 4.2 (api 17)已经开始采用JavascriptInterface代替addjavascriptInterface。:

0b1331709591d260c1c78e86d0c51c18.png

周周复年年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android WebViewaddJavascriptInterface 探究
juruiyuan111的专栏
05-09 1135
Java和JS交互的方式有多种,这里探讨的方式是通过以下方式进行的交互。这篇文章是想弄明白 JavaScript 和 Java是如何实现这种方式互调的,就从源码角度开始分析。
Android (Arctic Fox P2) Kotlin WebView.addJavascriptInterface
Nnnn的博客
01-21 2479
1. 自定义需要注入Webiew的JavascriptObject: // 继承Object基类 class JavascriptObject: Object(){ public fun doBefore(arg: Any?){ } // 注解1 @JavascriptInterface public fun do(arg: String?){ } } 2. 往Webiew注入Javascript Interface类: // 注解2 @Su
java webview js 安全,webview 漏洞 addJavascriptInterface 漏洞高风险),求解决
weixin_29061465的博客
03-13 459
以下是安全部门检测出的hbuilder打包的app的漏洞,集成了个推,给出了解决方案无从小手啊,好像只有hbuilder开发者才能改把,这个代码时hbuilder帮我们集成的,有谁解决了吗,请指教!!webview 漏洞(高风险)问题描述:在webView 下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java 和js 的交互。被测应用中存在WebView 漏洞...
android addjavascriptinterface 漏洞,解决android4.2以下addJavaScriptInterface不安全问题
weixin_32534669的博客
06-04 807
问题描述android js和原生互相调用会产生安全问题,WebView addJavaScriptInterface 远程代码执行漏洞概述Android 系统通过WebView.addJavascriptInterface 方法注册可供JavaScript 调用的Java 对象,以用于增强JavaScript 的功能。但是系统并没有对注册Java 类的方法调用的限制。导致攻击者可以利用反射机制调...
Android:如何使用addJavaScriptInterface
weixin_33763244的博客
11-11 436
说明 本文将和大家分享Android中的 addJavaScriptInterface方式。这个类主要能帮助调用你的JavaScript函数中的任意活动方式。其中有如下一些需要注意的地方: addJavaScriptInterface方式帮助我们从一个网页传递值到Android XML视图(反之亦然)。 你可以从网页调用你的活动类方式(反之亦然)。 这是一个非常有用的功能,而当WebV...
Android addJavaScriptInterface
happyrabbit456的专栏
09-24 2292
Download demo - 152 KB Introduction Hi everyone again. Today I am going to share my experience with the addJavaScriptInterface method in Android. This class basically helps us call any activity
CVE-2013-4710 WebView addJavascriptInterface远程执行代码
weixin_30247781的博客
09-22 394
WebViewAndroid平台下的一个重要组件,通常用来在Activity中嵌入一个简单的浏览器,实现在线网页浏览的功能。比如下面代码实现访问Google页面: WebView webView = new WebView (R.id.webView1); webView.getSettings().setJavaScriptEnabled(true); webView.load...
Js 调用Android方法-addJavascriptInterface
qq_40638618的博客
07-15 1209
1 设置 webView.addJavascriptInterface(new JavascriptInterface(this), "imagelistner"); 2 js 调用Android 方法 类似Android 加载webView public class JavascriptInterface { private Context context; ...
android webView.pptx
08-05
WebViewAndroid提供的一种用于显示Web内容的组件。它可以加载HTML页面,并且能够与页面中的JavaScript交互,从而实现更丰富的应用功能。WebView广泛应用于各种场景,如企业内部文档浏览、嵌入式应用中的网页展示等...
安卓addJavascriptInterface实现例子小demo
07-30
安卓-Android addJavaScriptInterface基本使用,webview与js如何进行交互?addJavaScriptInterface不起作用怎么办
addJavaScriptInterface使用demo
11-30
分享Android中的 addJavaScriptInterface方式,这个类主要能帮助调用你的JavaScript函数中的任意活动方式
Android反编译 add用法,Android:如何使用addJavaScriptInterface
weixin_29517217的博客
05-27 524
说明本文将和大家分享Android中的 addJavaScriptInterface方式。这个类主要能帮助调用你的JavaScript函数中的任意活动方式。其中有如下一些需要注意的地方:addJavaScriptInterface方式帮助我们从一个网页传递值到Android XML视图(反之亦然)。你可以从网页调用你的活动类方式(反之亦然)。这是一个非常有用的功能,而当WebView中的HTML是...
android addjavascriptinterface 漏洞,Android webview(三) addJavascriptInterface的安全问题
weixin_39603598的博客
06-04 435
javascript提供native接口的途径Android WebView 提供一个addJavascriptInterface方法来为javascript创建一个JavaBridge.例如给js提供一个showToast的方法:private static class JavaJs {private Context context;JavaJs(Context context) {this....
webView.addJavascriptInterface 用法
chuyouyinghe的专栏
12-11 2004
在这里我们引用Google的一个事例下面是我Google给提供的一个dome的地址:点击打开链接 我们先看它的HTML文件,HTML的文件路径是在:点击打开链接 他的代码为: /* This function is invoked by the activity */ /* 这个函数被Activity调用的活动
android软件开发之webView.addJavascriptInterface循环渐进【二】
JMathias的博客
10-27 599
新建工程 为了让大家更容易的理解,所以我这里就尽量的将代码缩短,这是我的工程的配置 创建好工程之后,然后将界面调整为下面这样 添加代码 首先将两个button和webview添加进来,并给web添加两个JavaScript调用接口,testFunc1和testFunc2 private Button m_testButtom1; private Button m_te
android addJavascriptInterface 不能生效 解决办法
weixin_33853794的博客
09-16 275
1. webview.addJavascriptInterface() doen not work on API 16+ 常见的客户端与H5的混合编程是使用scheme+、JS bridge、provider等。 在做Android 与 H5 客户端交互时,发现一个很诡异的错误。在一个4.2.2的 三星S3上,Android Javascript Bridge 会出现回调出错。 所有挂在Br...
Android 4.2中对WebView.addJavascriptInterface()的修改
Kevin yan的专栏
01-07 1432
Android 4.2中对WebView.addJavascriptInterface()的修改 如果您在编写HTML5应用,需要在JS代码中访问Java中的函数,则您会用到WebViewaddJavascriptInterface()函数。因为安全问题,在Android4.2中(如果应用的android:targetSdkVersion数值为17+)JS只能访问带有 @Jav
Android WebView远程代码执行漏洞详解与影响
Android API级别16及以下版本由于缺乏有效的安全防护措施,存在一个显著漏洞,即WebView.addJavascriptInterface方法的滥用可能导致远程攻击者通过Java反射API执行任意本地Java代码,从而实现恶意操控。此漏洞首次...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值