【Android】跨端(JSBridge)安全小计

已于 2024-01-27 16:36:06 修改
阅读量1.2k 收藏
点赞数
分类专栏: Android_JAVA层_安全 文章标签: android 跨端 jsbridge webview 漏洞 逆向
于 2023-06-28 00:46:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiru9972/article/details/131427321
版权

背景

移动端漏洞有个比较大的攻击面是:Webview容器安全。

而Webview容器中一个比较重要的攻击面就是:跨端方法,通过Js可以直接调用客户端Native代码。

本文详细介绍android前端到客户端跨端通信的基础知识以及相关漏洞挖掘思路。

基础知识

当我们要了解跨端(这里指前端和客户端跨端)的时候,通常需要掌握一些基础知识,如下:

1、跨端

在移动端前端和客户端的跨端开发,通常是指使用一种技术或框架,同时在移动应用的前端和客户端开发中进行应用。这种跨端技术通常使用 Web 技术(如 HTML、CSS 和 JavaScript)来开发应用程序,然后通过 WebView 或类似的技术来集成到原生应用中。

在这种跨端开发中,前端开发者可以使用熟悉的 Web 技术来开发应用程序,而不需要学习和使用原生开发语言和工具。同时,客户端开发者可以使用原生开发语言和工具来集成前端开发的应用程序。

2、原理介绍

步骤一:

Native代码封装JSBridge对象:定义接口方法,代表这些Navtive方法可以被JS调用。

步骤二:

通过Webview容器提供的接口方法:evaluateJavascript,将步骤一封装的JSBridge方法注入到Webview容器中。

步骤三:

当步骤二的Webview容器加载时,进程中就包含了JSBridge对象(object),通过JavaScript就可以直接调用jsb对象中的接口方法,实现跨端方法调用。

3.、常见的移动端前端和客户端的跨端技术

1. React Native:React Native 可以使用 Web 技术来开发应用程序,并通过 JavaScript Bridge 技术来与原生应用进行交互,从而实现跨端开发。

2. Flutter:Flutter 可以使用 Web 技术来开发应用程序,并通过 Flutter Engine 技术来与原生应用进行交互,从而实现跨端开发。

3. WebView:WebView 是一种原生控件,可以在原生应用中嵌入 Web 应用程序。前端开发者可以使用 Web 技术来开发应用程序,然后通过 WebView 技术来集成到原生应用中。

4. Hybrid:Hybrid 是一种结合了原生和 Web 技术的跨端开发模式,可以使用 Web 技术来开发应用程序,并使用原生技术来实现底层功能。

3.1 React Native - ReactContextBaseJavaModule

攻击者视角,我更关心前端如何调用客户端。

在 React Native 中,Native Modules 用于将原生功能封装成 JavaScript 可以调用的函数或方法。

在原生代码中,创建一个 Native Module,通过该模块可以调用客户端代码。例如,在 Android 平台上可以创建一个 Java 类,实现 ReactContextBaseJavaModule 接口,并在该类中定义一个可以被 JavaScript 调用的函数。示例代码如下

public class MyNativeModule extends ReactContextBaseJavaModule {
    private Context mContext;

    public MyNativeModule(ReactApplicationContext reactContext) {
        super(reactContext);
        mContext = reactContext;
    }

    @Override
    public String getName() {
        return "MyNativeModule";
    }

    @ReactMethod
    public void showSessionID() {
        Toast.makeText(mContext, getCookie(), Toast.LENGTH_SHORT).show();
    }
}

3.2 React Native - ReactApplication

继承ReactApplication并重写getPackages函数就可以将我们3.1新建的module注册进来。

import com.example.MyNativeModule;

...

public class MainApplication extends Application implements ReactApplication {
    private final ReactNativeHost mReactNativeHost = new ReactNativeHost(this) {
        @Override
        public boolean getUseDeveloperSupport() {
            return BuildConfig.DEBUG;
        }

        @Override
        protected List<ReactPackage> getPackages() {
            return Arrays.asList(
                new MainReactPackage(),
                new MyNativeModule()
            );
        }
    };
}

3.3 React Native - 前端调用

前端就能直接通过事件触发nativemodule的showSessionID方法了。

import React from 'react';
import { TouchableOpacity, Text, NativeModules } from 'react-native';

const MyButton = () => {
  const onPress = () => {
    NativeModules.MyNativeModule.showSessionID();
  };

  return (
    <TouchableOpacity onPress={onPress}>
      <Text>Click me</Text>
    </TouchableOpacity>
  );
};

export default MyButton;

所以如果存在远程动态加载一些前端代码,或者存储类或者其他安全问题能够控制前端代码,那我们就能进一步调用注册进来的客户端代码,例如上述的sessionid。

4.1 webview -     @JavascriptInterface

新建一个javascript接口

class MyNativeInterface {
    @JavascriptInterface
    public void showCookie() {
        Toast.makeText(mContext, getcookie(), Toast.LENGTH_SHORT).show();
    }
}

4.2 webview -     addJavascriptInterface

把接口注册进webview容器

import android.webkit.WebView;
import android.webkit.WebViewClient;

...

public class MainActivity extends AppCompatActivity {
    private WebView mWebView;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        mWebView = findViewById(R.id.webView);
        mWebView.setWebViewClient(new MyWebViewClient());
        mWebView.getSettings().setJavaScriptEnabled(true);
        mWebView.addJavascriptInterface(new MyNativeInterface(), "MyNativeInterface");
    }
}

4.3 webview - 前端调用

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>WebView Example</title>
</head>
<body>
  <button onclick="window.MyNativeInterface.showcookie()">Click me</button>
</body>
</html>

webview的攻击比较丝滑,因为只要打开一个webview容器就可以有机会攻击注册进来的跨端接口。扫一扫、Deeplink、IM、搜索等等。

5. Hybrid

Hybrid 应用程序比普通的 WebView 应用程序更加复杂,需要在客户端代码中实现一些原生功能,例如调用系统 API、访问本地数据库等,一种开发模式,它结合了 Web 技术和原生技术,用于开发跨平台应用程序。但是实现原理就是webview。所以参考4.1~4.3即可。

6. Flutter

实现原理和React Native类似,继承MethodCallHandler定义channel并写入跨端方法->setMethodCallHandler注册channel到Flutter->前端调用跨端方法。

public class MyChannel implements MethodCallHandler {
    private static final String CHANNEL_NAME = "com.example.my_channel";

    private Context mContext;

    private MyChannel(Context context) {
        mContext = context;
    }

    public static void registerWith(Registrar registrar) {
        final MethodChannel channel = new MethodChannel(registrar.messenger(), CHANNEL_NAME);
        channel.setMethodCallHandler(new MyChannel(registrar.context()));
    }

    @Override
    public void onMethodCall(MethodCall call, MethodChannel.Result result) {
        if (call.method.equals("showToast")) {
            String message = call.argument("message");
            Toast.makeText(mContext, message, Toast.LENGTH_SHORT).show();
            result.success(true);
        } else {
            result.notImplemented();
        }
    }
}


--------

import io.flutter.embedding.android.FlutterActivity;
import io.flutter.embedding.engine.FlutterEngine;
import io.flutter.plugins.GeneratedPluginRegistrant;
import io.flutter.plugin.common.MethodChannel;

public class MainActivity extends FlutterActivity {
    private static final String CHANNEL_NAME = "com.example.my_channel";

    @Override
    public void configureFlutterEngine(FlutterEngine flutterEngine) {
        GeneratedPluginRegistrant.registerWith(flutterEngine);
        new MethodChannel(flutterEngine.getDartExecutor().getBinaryMessenger(), CHANNEL_NAME)
                .setMethodCallHandler(new MyChannel(this));
    }
}


-----------
import 'package:flutter/material.dart';
import 'package:flutter/services.dart';

void main() {
  runApp(MyApp());
}

class MyApp extends StatelessWidget {
  static const platform = const MethodChannel('com.example.my_channel');

  void _showToast() async {
    try {
      await platform.invokeMethod('showToast', {'message': 'Hello, world!'});
    } on PlatformException catch (e) {
      print(e);
    }
  }

  @override
  Widget build(BuildContext context) {
    return MaterialApp(
      title: 'Flutter Demo',
      home: Scaffold(
        appBar: AppBar(
          title: Text('Flutter Demo'),
        ),
        body: Center(
          child: RaisedButton(
            child: Text('Click me'),
            onPressed: _showToast,
          ),
        ),
      ),
    );
  }
}

如何挖掘?实战演练

步骤(一):

逆向APK -> 得到Android源代码 -> 全局搜索@JavascriptInterface -> 搜索webview容器的JSBridge对象,以及实现的接口方法。

步骤(二):

找到具体外部可控的业务场景触发注入了JSB的Webview容器:常见的场景有

扫一扫、IM、Deeplink、文章、签名等。

步骤(三):

研读步骤一得到的JSBridge对象,以及实现的接口方法,依据参数以及参数类型和条件判断,在前端通过JavaScript进行调用。

如下模拟调用举例:

<script>window.xxxx.yyyy(aaa,bbb);

后话

不同的应用厂商在跨端上面可能都会选择不同的解决方案,或者自己开发一些跨端框架,这时候可能需要逆向看代码逻辑才能往下走。另外跨端的调用往往也不是一帆风顺,开发者会增加各种限制,例如权限限制,访问域名限制等等,这个也需要进一步的绕过思路,这个还要慢慢发散思路和学习。 

_HWHXY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android JSBridge
04-12
关于Android与javascript之间实现数据互通的JsBridge使用描述
Android混合开发之WebViewJavascriptBridge实现JS与java安全交互
11-29 132
前言: 为了加快开发效率,目前公司一些功能使用H5开发,这里难免会用到Js与Java函数互相调用的问题,这个Android是提供了原生支持的,不过存在安全隐患,今天我们来学习一种安全方式来满足Js与java互相调用的需求。它就是WebViewJavascriptBridge。 学习动机: 先看下之前的解决办法:Android混合开发之WebView与Javascr...
Android JSBridge的原理与实现
02-28
博客地址 http://blog.csdn.net/sbsujjbcy/article/details/50752595
JSBridge::rocket:适用于Android iOS的JSBridge
05-27
JSBridge JSBridge For Android / iOS,统一易用的Javascript bridge。 需配合及使用 安装 npm $ npm i --save @hackycy/jsbridge cdn <!-- production --> [removed][removed] 将${version}改为可用版本号 使用 异步调用Native /** * 第一个参数为函数名称,第二个参数为需要传递的参数,必须为Object对象类型,第三个参数为回调 */ window.JSBridge.invoke('log', null, callback); // 会将原生端返回的参数在该回调中参数传入 function callback
android-jsbridge
04-20
android-jsbridge
Android WebView的Js对象注入漏洞解决方案
热门推荐
永远即等待的专栏
09-30 8万+
Android webview注入JS对象引发的安全漏洞,恶意的JS脚本可以读取到SDcard上面的任何文件,本文给出了这种漏洞的一种解决方案。
android JSBridge 漏洞挖掘
weixin_40418457的博客
05-06 824
一、概述 1. JSBridge介绍 什么是JSBridge主要是给 JavaScript 提供调用 Native 功能的接口,让混合开发中的前端部分可以方便地使用 Native 的功能(例如:地址位置、摄像头)。 而且 JSBridge 的功能不止调用 Native 功能这么简单宽泛。实际上,JSBridge 就像其名称中的Bridge的意义一样,是 Native 和非 Native 之间的桥梁,它的核心是构建 Native 和非 Native 间消息通信的通道,而且这个通信的通道是双向的。 双向通信的通
JSBridge深度剖析
xiangzhihong8的专栏
03-27 1万+
概述做过混合开发的人都知道Ionic和PhoneGap之类的框架,这些框架在web基础上包装一层Native,然后通过Bridge技术的js调用本地的库。在讲JSBridge技术之前,我们来看一下传统的实现方式。Android端Native调JSnative调用js比较简单,只要遵循:”javascript: 方法名(‘参数,需要转为字符串’)”的规则即可。在4.4之前,调用的方式:// mWebV
Android代码-JsBridge
08-06
JsBridge inspired and modified from this and wechat jsBridge file, with some bugs fix and feature enhancement. This project make a bridge between Java and JavaScript. It provides safe and convenient ...
Android JsBridge 的坑,registerHandler不执行,callHandler不执行
无风全靠浪
05-24 4万+
以下引用大佬的原话 在使用的过程中,起初遇到了一些bug, 是不敢相信的,毕竟4000多星的项目,近1000 fork,我所有项目加起来也没这么多啊。但是随着使用中遇到的越来越多的问题,我不得不仔细的看了看源码,结合现有的issue, 经过仔细反复的测试、验证,让我大为吃惊,发现此库不仅有一些不合理的地方,而且存在多个致命的问题。在此,先说严重的bug, 文末贴出了我自己实现的修复版,欢迎探讨:...
WebView安全漏洞问题
qq_27623401的博客
02-17 543
一、WebView常见的一些坑        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。          2、webview在布局文件中的使用:webview写在其他容...
android js交互_从RainbowBridge看Js与Java交互中的安全漏洞
weixin_39651816的博客
11-21 241
以上文章由来自OPPO子午互联网安全实验室【Zery】有赏投稿,也欢迎广大朋友继续投稿,详情可点击OSRC重金征集文稿!!!了解~~温馨提示:建议广大作者朋友们用markdown格式投稿,特别是包含大量代码的文章前言Hybrid混合开发模式正在被越来越多的APP所使用,这种模式中一个绕不开的话题就是Js如何与Java进行交互,而早在Android 4.2之前的版本中,由webview提供...
Hybrid架构:WebView中的Hybrid(JsBridge等)demo,WebViewClient和WebChromeClient及安全漏洞,Js与Native通信
ShareUs的专栏
07-05 1869
-- WebView形象的理解上述流程从一个loadUrl来看,详细流程如下: Browser.loadUrl->WebView.loadUrl->WebViewChromium.loadUrl->AwContents.loadUrl->ContentViewCore.loadUrl。 -- webview有两个方法:setWebChromeClient 和 setWeb...
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1073
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
php利用阿里云短信SDK实现短信发送功能
赛时科技
05-02 648
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
翻译插件Translation和AndroidLocalize
qq_45649553的博客
04-28 429
翻译插件Translation和AndroidLocalize
展开说说:Android Fragment完全解析-卷三
最新发布
Hidanchaofan的博客
05-03 474
本文章分析了Fragment的管理器FragmentManager、事务以及完整的声明周期和动态加载Fragment的原理解析。
动手写一个简单的Android 表格控件支持固定列
WeiPR的博客
04-30 672
自己动手写一个支持固定列、滚动的简单易用Android表格控件
XYCTF 2024 WP
m0_64016126的博客
04-28 1128
首先访问robots.txt有一个l0g1in.txt,访问即可得到账号和密码BP抓包进行一系列伪造即可第一层payload:?第二层payload:GET:?POST:a[]=1这里主要是通过数组绕过preg_match,然后构造preg_replace/e 漏洞通过fastcoll生成两个md5值一样的图片即可。
Android Jsbridge
04-09
Android Jsbridge是一种用于在Android应用程序中实现JavaScript与原生代码之间通信的桥接技术。它允许JavaScript代码调用原生Android代码的方法,并且也可以让原生Android代码调用JavaScript中定义的方法。 Android Jsbridge的实现原理是通过WebView提供的接口来实现通信。在Android端,我们可以通过WebView的addJavascriptInterface方法将Java对象注入到WebView中,使得JavaScript可以通过该对象调用Java方法。而在JavaScript端,我们可以通过WebView的evaluateJavascript方法执行JavaScript代码,并且可以通过WebView的loadUrl方法执行JavaScript函数。 使用Android Jsbridge可以实现很多功能,比如在WebView中调用原生的相机、分享功能,或者在原生代码中调用JavaScript中的方法来更新页面内容等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值