WebView漏洞

最新推荐文章于 2024-03-18 18:30:07 发布

weixin_33737134

最新推荐文章于 2024-03-18 18:30:07 发布

阅读量70

点赞数

文章标签：移动开发 java

原文链接：http://blog.51cto.com/duallay/1876506

版权

WebView的漏洞有多少？

http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.4O9HwS&id=89

Android 4.2以下版本开发时WebView不止是调用了addJavascriptInterface才会有风险，只要用了WebView就会有问题，比如默认加入的searchBoxJavaBridge_对象：

http://blog.sina.com.cn/s/blog_777f9dbb0102v8by.html

http://wolfeye.baidu.com/blog/android-webview/

accessibility和accessibilityTraversal,如果手机系统版本低于（不含）4.4，而且开启了系统辅助功能中的某一项服务就有可能受到此威胁。

http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/

Android安全开发之WebView中的大坑

http://blog.csdn.net/zhangcanyan/article/details/51930775

安全开发建议

1)建议开发者通过以下方式移除该JavaScript接口：

removeJavascriptInterface("searchBoxJavaBridge_")

removeJavascriptInterface("accessibility")；

removeJavascriptInterface("accessibilityTraversal")

2)出于安全考虑，为了防止Java层的函数被随便调用，Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解

3)通过WebSettings.setSavePassword(false)关闭密码保存提醒功能

4)通过以下设置，防止越权访问，跨域等安全问题：

setAllowFileAccess(false)

setAllowFileAccessFromFileURLs(false)

setAllowUniversalAccessFromFileURLs(false)

转载于:https://blog.51cto.com/duallay/1876506

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33737134

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Android webView安全漏洞解决

10-13

Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞

WebView（三）—— WebView使用漏洞

xingyu19911016的博客

11-15

2554

WebView使用漏洞 WebView中，主要漏洞有三类：任意代码执行漏洞密码明文存储漏洞域控制不严格漏洞 1 任意代码执行漏洞 JS调用Android代码是通过addJavascriptInterface接口进行对象映射。 1.1 漏洞产生的原因 // java代码 public class AndroidJS extends Object { @JavascriptInterface public void hello(String msg) { System

参与评论您还未登录，请先登录后发表或查看评论

WebView使用漏洞

gengbaolong的博客

08-13

1148

WebView 坑漏洞

Android WebView的Js对象注入漏洞解决方案

最新发布

2401_83621499的博客

03-18

889

你要问前端开发难不难，我就得说计算机领域里常说的一句话，这句话就是『难的不会，会的不难』，对于不熟悉某领域技术的人来说，因为不了解所以产生神秘感，神秘感就会让人感觉很难，也就是『难的不会』；当学会这项技术之后，知道什么什么技术能做到什么做不到，只是做起来花多少时间的问题而已，没啥难的，所以就是『会的不难』。开源分享：【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】我特地针对初学者整理一套前端学习资料。

android web安全问题,Android WebView常见的安全漏洞和解决方案

weixin_29184371的博客

05-26

912

概述WebView中安全漏洞有三种，分别是：远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因：Android API level 17以及之前的系统版本，由于程序没有正确限制使用addJavascriptInterface方法，远程攻击者可通过使用Java Re...

Android WebView安全方面的一些坑

qq_53058639的博客

01-07

327

公司一款app有将近两年没有更新了，虽然用户量不大，但是因为与第三方有合作，出现问题时需要进行维护；没想到最近第三方对他们所有的软件进行了网络安全扫描，这款也未能幸免…因为app是13年左右开发的，维护也只是到16、17年左右就终止了，所以，扫描出不少漏洞；因为是采用了混合开发，因此，需要解决一些webview。

Android中WebView无法后退和js注入漏洞的解决方案

09-02

总的来说，处理WebView的后退问题和JavaScript注入漏洞需要对Android和Web开发有深入理解。对于后退问题，可以通过调整重定向逻辑或自定义历史栈来解决；而对于安全问题，及时更新WebView组件，启用安全设置，并与...

关于Android中WebView远程代码执行漏洞浅析

08-27

主要给大家介绍了关于Android中WebView远程代码执行漏洞的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

Android静态安全检测 -> WebView系统隐藏接口漏洞检测

4lwin博客

06-21

8869

WebView系统隐藏接口漏洞检测 - removeJavascriptInterface方法 1. 隐藏接口 searchBoxJavaBridge_ accessibility accessibilityTraversal 2. 触发条件使用WebView 对应到smali语句中的特征：;->getSettings()Landroid/w

Carson带你学Android：你不知道的 WebView 使用漏洞

热门推荐

Carson带你学Android

03-22

7万+

前言现在很多App里都内置了Web网页（Hyprid App），比如说很多电商平台，淘宝、京东、聚划算等等，如下图上述功能是由 Android的WebView 实现的，但是 WebView 使用过程中存在许多漏洞，容易造成用户数据泄露等等危险，而很多人往往会忽视这个问题今天我将全面介绍 Android WebView的使用漏洞及其修复方式阅读本文前请先阅读： Android开发：最

webView常见漏洞以及解决方法

fulai00的专栏

10-25

2371

1.Android 4.4 之前的版本 webkit 中内置了”searchBoxJavaBridge_”接口。攻击者可通过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码。解决方法：webView.removeJavascriptInterface("searchBoxjavaBridge_"); 2.Android 4.4 之前的版本 WebView

Android中的WebView组件安全

nextdoor6的博客

08-23

2952

WebView组件介绍和使用第一部分 WebView组件远程代码执行漏洞第二部分 WebView绕过证书校验漏洞第三部分 WebView明文存储密码风险 WebView组件系统隐藏接口漏洞 WebView File域同源策略绕过 WebView外部URl可控

Android静态安全检测 -> WebView组件远程代码执行漏洞检测

4lwin博客

06-21

4822

WebView组件远程代码执行漏洞检测 - addJavascriptInterface方法 1. API 继承关系 java.lang.Object android.view.View android.view.ViewGroup android.widget.AbsoluteLayout android.webkit.WebVi

Android4.2下 WebView的addJavascriptInterface漏洞解决方案

zhouyongyang621的专栏

07-22

1万+

最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org）报告出来的。 mWebView.addJavascriptInterface(new JSCallManager(), "Native"); 向WebView注册一个名叫“Native”的对象，然后在JS中可以访问到Native这个对象，就可以调用这个对象的一些方法

WebView安全漏洞问题

qq_27623401的博客

02-17

582

一、WebView常见的一些坑 1、android API level 16 以及以前的版本存在远程代码执行漏洞，该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法，远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。 2、webview在布局文件中的使用：webview写在其他容...

Android安全漏洞修复-Webview中的漏洞修复

Liberty_zw的博客

11-28

1805

文章目录项目问题1. 类型2.具体分析2.1 WebView 任意代码执行漏洞2.1.1 addJavascriptInterface 接口引起远程代码执行漏洞2.1.2 searchBoxJavaBridge_、accessibility、 accessibilityTraversal接口引起远程代码执行漏洞2.2 密码明文存储漏洞2.2.1 问题分析2.2.2 解决方案2.3 域控制不严格漏洞...

Android WebView安全问题

Devil不加V

05-11

3159

Android安全问题（WebView）因为app是13年左右开发的，维护也只是到16、17年左右就终止了，所以，扫描出不少漏洞；因为是采用了webview+html混合开发，因此，需要解决一些webview相关的问题：一、webview隐藏接口问题（任意命令执行漏洞） android webview组件包含3个隐藏的系统接口：searchBoxJavaBridge_, accessibilityTraversal以及accessibility，恶意程序可以通过反射机制利用它们实现远程代码执行；该问题

Android：你所忽略 WebView 带来的那些安全漏洞（总结）

lemonGuo的大脑皮层、小脑、海马体、杏仁核.....

05-08

3661

WebView是一个基于webkit引擎、展现web页面的控件。它功能强大，除了具有一般View的属性和设置外，还可以对url请求、页面加载、渲染、页面交互进行强大的处理。但是在使用的同时也埋下了一些安全隐患和内存泄漏，接下来以此篇文章作简单总结：

解决Android WebView无法后退与JS注入漏洞

"这篇文章除了介绍Android中WebView无法后退的问题，还涉及到了针对安卓4.2及以下版本的js注入漏洞的解决方案。在Android应用中，WebView经常用于展示网页内容，但有时会遇到用户无法正常后退或者存在安全风险的情况...