Android Webiew的addJavascriptInterface带来的漏洞

最新推荐文章于 2024-08-19 04:02:39 发布
最新推荐文章于 2024-08-19 04:02:39 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: Android 文章标签: WebView addJavaScriptInterface
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40763897/article/details/97627223
版权

WebView漏洞:
**

WebView 中的 addJavascriptInterface()接口**

JS调用Android的其中一个方式是通过addJavascriptInterface接口进行对象映射:

// 参数1:Android的本地对象
// 参数2:JS的对象
// 通过对象映射将Android中的本地对象和JS中的对象进行关联,从而实现JS调用Android的对象和方法
mWebView.addJavascriptInterface(new MyJSInterface(),"androidJsInterface");

因为WebView通过addJavascriptInterface绑定了一个Java对象,根据Java的反射机制,就可以获得比更多方法,和间接获得更多的实例对象,进行操作:

 try {
            Runtime runtime =  (Runtime) this.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null);
            Process process = runtime.exec("date");
            InputStream inputStream = process.getInputStream();
            BufferedInputStream bufferedInputStream = new BufferedInputStream(inputStream);
            byte[] b = new byte[1024];
            bufferedInputStream.read(b);
            String dateString = new String(b,"utf-8");
            Toast.makeText(this,dateString,Toast.LENGTH_LONG).show();

        } catch (IllegalAccessException e) {
            e.printStackTrace();
        } catch (InvocationTargetException e) {
            e.printStackTrace();
        } catch (NoSuchMethodException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }

以上是Java的,它通过当前实例获得了Runtime,接着让它执行date命令。在JS中也是同样道理。
解决方案
(1) Android 4.2版本之后
Google 在Android 4.2 版本中规定对被调用的函数以 @JavascriptInterface进行注解从而避免漏洞攻击:

    private static class MyJSInterface{
        @JavascriptInterface
        public void showMessage(String msg){
            Log.d("JS Interface Message#",msg);
        }
    }

(2)对于Android 4.2以前,需要采用拦截prompt()的方式进行漏洞修复,比较麻烦

WongKyunban
关注
专栏目录
LTJSBridge:WKWebView JSBridge像Android一样addJavascriptInterface和名称
05-14
LTJS桥例子要运行示例项目,请克隆存储库,然后首先从Example目录运行pod install 。 JS Code:JSInterface.test(function(result) { clientinfo[removed] = "result: " +result; })JSInterface.test1("str1","str2",...
Android4.2下 WebViewaddJavascriptInterface漏洞解决方案
zhouyongyang621的专栏
07-22 1万+
最近接到公司安全部门提出的关于app js调用的一个安全漏洞,这个漏洞是乌云平台(http://www.wooyun.org)报告出来的。 mWebView.addJavascriptInterface(new JSCallManager(), "Native"); 向WebView注册一个名叫“Native”的对象,然后在JS中可以访问到Native这个对象,就可以调用这个对象的一些方法
java webview js 安全,webview 漏洞 addJavascriptInterface 漏洞(高风险),求解决
weixin_29061465的博客
03-13 462
以下是安全部门检测出的hbuilder打包的app的漏洞,集成了个推,给出了解决方案无从小手啊,好像只有hbuilder开发者才能改把,这个代码时hbuilder帮我们集成的,有谁解决了吗,请指教!!webview 漏洞(高风险)问题描述:在webView 下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java 和js 的交互。被测应用中存在WebView 漏洞...
加载后执行addJavascriptInterface
最新发布
weixin_40916052的博客
08-19 11
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1加载后执行 addJavascriptInterface 的科普文章 在现代Web开发中,网页和应用程序之间的交互越来越重要,尤其是在移动应用开发中,Android平台上的WebView组...
WebViewaddJavascriptInterface不起作用解决方法
风华是一指流砂的专栏
10-08 2271
private class AndroidBridge { Context mContext; AndroidBridge(Context context) { this.mContext = context; } @JavascriptInterface public void goMarket() { Intent in
Android WebView 中实现和 JavaScript 的互操作
sinat_17133389的博客
12-10 912
有两个参数。其中 object 即需要提供给 js 调用的对象。在 Android 4.1.2 (API 16) 以下时,js 可以调用该对象的所有公开方法;在 Android 4.2 (API 17)以上时, js 只能调用添加了注解的公开方法。之所以会有这样的改动,是因为在 API 16 之前可以调用所有公开方法具有安全隐患,例如可以利用 jave 的反射机制实现任意命令的执行。interfaceName 即 js 调用时的接口名称。我们可以通过 webview 的。
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
WebView 安全之 addJavascriptInterface
bolang789的博客
05-12 5126
WebView 安全之 addJavascriptInterface 不会写代码的IT男关注 2016.01.03 18:14*字数 474阅读 5668评论 0喜欢 3 0x00 addJavascriptInterface介绍 WebViewAndroid平台下的一个重要组件,通常用来在Activity中嵌入一个简单的浏览器,实现在线网页浏览的功能。比如下面代码实现访问Goo...
Android应用9类漏洞.doc
01-08
Android 应用9类漏洞 Android 应用程序在设计和开发过程中可能会出现一些漏洞和风险,这些漏洞和风险可能会被黑客所利用,损害用户的隐私和安全。因此,了解和掌握这些漏洞和风险对于 Android 应用程序的安全性非常...
AndroidWebView无法后退和js注入漏洞的解决方案
09-02
总的来说,处理WebView的后退问题和JavaScript注入漏洞需要对AndroidWeb开发有深入理解。对于后退问题,可以通过调整重定向逻辑或自定义历史栈来解决;而对于安全问题,及时更新WebView组件,启用安全设置,并与...
android WebView js漏洞预防的方案例子
09-25
然而,由于WebView直接执行JavaScript代码,如果不加以防护,可能会引发安全漏洞,给用户数据和应用程序带来风险。本文将详细介绍如何预防Android WebView中的JavaScript漏洞,并给出具体的实现例子。 首先,我们...
Android应用漏洞之攻与防.pdf
08-07
Android应用漏洞示例中提到了几种典型的安全问题,例如addJavascriptInterface远程代码执行、HTTPS校验漏洞、加密算法使用不当等。这些示例展示了漏洞可能存在于应用的各个方面,从数据处理到权限管理,从本地应用到...
android webview addJavascriptInterface 的方法不能调用
xiealan的专栏
12-04 1万+
以前一直觉着用html5做android app是一件很鸡肋的事(勿喷,请恕小的见识少)。 后来又发现很多大公司做的app中都或多或少的使用了html元素,比如微信、qq之类。 最近在网上闲逛发现一个IDE可以使用纯html js css设计app并发布到多个平台,并且更牛的是可以直接使用它提供的js api调用各种系统原生的api。一时心动下载研究。后来发现也并不是想象中多么神奇的事情。
Android:如何使用addJavaScriptInterface
weixin_33763244的博客
11-11 438
说明 本文将和大家分享Android中的 addJavaScriptInterface方式。这个类主要能帮助调用你的JavaScript函数中的任意活动方式。其中有如下一些需要注意的地方: addJavaScriptInterface方式帮助我们从一个网页传递值到Android XML视图(反之亦然)。 你可以从网页调用你的活动类方式(反之亦然)。 这是一个非常有用的功能,而当WebV...
webview 源码追踪addJavascriptInterface(android10)
yanjingjiangjun的专栏
03-12 1817
参考 https://www.jianshu.com/p/182e4985b669 https://www.jianshu.com/p/a8ed39a17f3f webview.java关键代码 private void ensureProviderCreated() { checkThread(); if (mProvider == null) { // As this can get called during the base clas
android4.4中addjavascriptinterface失效的解决办法
冰咖啡的专栏
06-23 3735
最近项目升级到了android4.4,发现其中的addjavascriptinterface失效了,因为之前andriod4.2的时候一直好好的,所以怀疑是升级andriod版本导致的问题,后来查资料得知用addjavascriptinterface映射到javascript的方法必须添加@JavascriptInterface注释,经测试果然成功了,以下是java代码: public clas...
Android软件开发之webView.addJavascriptInterface循环渐进【一】
Cesborn
08-17 1195
转自:http://blog.csdn.net/kingsollyu/article/details/6656865 首先必要的啰嗦几句,这几天写VC写的累的要死,突然间不想再写想VC了,手里面有一个andriod的手机天天玩到半夜,却从来没有写过这方面的程序,真的是悲哀啊。所
关于addJavascriptInterface方法
公众号shadow sock7
09-30 8686
WebView的RCE问题 参考: https://developer.android.com/reference/android/os/Build.VERSION_CODES#JELLY_BEAN 这里的最后一行的意思是: 对于targetSdkVersion为Android 4.2(API 17)及以上的app,在应用中想要使用js调用某方法,那么这个方法必须使用@JavascriptInt...
android addjavascriptinterface 漏洞,解决android4.2以下addJavaScriptInterface不安全问题
weixin_32534669的博客
06-04 810
问题描述android js和原生互相调用会产生安全问题,WebView addJavaScriptInterface 远程代码执行漏洞概述Android 系统通过WebView.addJavascriptInterface 方法注册可供JavaScript 调用的Java 对象,以用于增强JavaScript 的功能。但是系统并没有对注册Java 类的方法调用的限制。导致攻击者可以利用反射机制调...
解决Android WebView无法后退与JS注入漏洞
- 使用`addJavascriptInterface`时,务必使用`@JavascriptInterface`注解,并在API 17及以上版本启用`android.webkit.WebView.setLayerType()`以限制接口访问。 - 采用Content Security Policy (CSP)限制允许执行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值