webView常见漏洞以及解决方法

最新推荐文章于 2023-02-07 17:55:28 发布
原创 最新推荐文章于 2023-02-07 17:55:28 发布 · 2.6k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了如何解决Android WebView中存在的多个安全问题,包括searchBoxJavaBridge_接口漏洞、远程代码执行漏洞、同源策略绕过漏洞及密码存储漏洞等。文中提供了具体的解决方法,帮助开发者提高应用安全性。
1.Android 4.4 之前的版本 webkit 中内置了”searchBoxJavaBridge_”接口。攻击者可通过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码。

解决方法:webView.removeJavascriptInterface("searchBoxjavaBridge_");


2.Android 4.4 之前的版本 WebView 内置导 出“accessibility”“accessibilityTraversal” 两个JavaObject 接口,可被利用实现远程任意代码执行。

解决方法:webView.removeJavascriptInterface("accessibility");    webView.removeJavascriptInterface("accessibilityTraversal");


3.解决 WebView File域同源策略绕过漏洞,应用程序一旦使用WebView并支持File域,就会受到该漏洞的攻击。该漏洞源于:JavaScript的延时执行能够绕过file协议的同源检查,并能够访问受害应用的所有私有文件。 

解决方案:

setting.setAllowFileAccess(false);

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN) {         

setting.setAllowFileAccessFromFileURLs(false);         

setting.setAllowUniversalAccessFromFileURLs(false);     

4.解决 WebView 密码存储漏洞,Android 系统 WebView 默认开启密码保存功能 mWebView.setSavePassword(true) 

密码没有加密被保存到/data/data/com.package.name/databases/webview.db。 

解决方案:关闭密码保存提醒功能,不保存密码,setting.setSavePassword(false);//关闭密码保存提醒功能 


5.远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法

解决方案: 
Google 在 4.2 版本之后,规定允许被调用的函数必须以@JavascriptInterface 进行注解. 

低于4.2版本,我们不能再调用addJavascriptInterface方法。我们通过 JS中的prompt与Android应用进行通信。Android对应的prompt数据接收。


public final boolean onJsPrompt(WebView view, String url, String message,             String defaultValue, JsPromptResult result) {                      

return super.onJsPrompt(view, url, message, defaultValue, result);     

}


WS2812B RGB灯带驱动实战:从寄存器操作到示波器调试全记录
最新发布
weixin_33737134的博客
04-03 205
本文详细记录了WS2812B RGB灯带驱动的实战经验,从寄存器操作到示波器调试的全过程。通过分析WS2812B的通信协议和时序要求,分享如何利用STM32微控制器实现精准控制,并解决实际项目中的信号完整性和电源噪声问题。适合嵌入式开发者和硬件爱好者参考。
android web安全问题,Android WebView常见安全漏洞解决方案
weixin_29184371的博客
05-26 1082
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
Android安全检测 - WebView系统隐藏接口漏洞
qq_35993502的博客
09-24 2160
这一章我们来学习“Webview系统隐藏接口漏洞”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 CVE-2014-1939: 在java/android/webkit/BrowserFrame.java文件中,通过API addJavaScriptInterface()添加了一个SearchBoxImpl类的对象searchBoxJavaBridge_,所以攻击者可通过searchBoxJavaBridge_对象进行反射攻击,通过访问searchBoxJavaBridge_接口利用该漏洞执行任意J
WebView使用漏洞
qq_39431405的博客
02-07 1549
webview使用漏洞
Android安全开发之WebView中的大坑
zhangcanyan的博客
07-17 2万+
0X01 About WebView      在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行
关于使用webview的一个注意项
xfnbing的专栏
01-13 1639
在Android系统4.3.1~3.0版本,系统webview默认添加了searchBoxJavaBridge_接口,如果未移除该接口可能导致低版本Android系统远程命令执行漏洞; 修复建议:判断系统版本,显式调用removeJavascriptInterface方法移除searchBoxJavaBridge_接口; demo: // 在Android系统4.3.1~3.
Android漏洞WebView漏洞,Web漏洞与Web安全
ShareUs的专栏
03-16 2782
> Android漏洞 主要Android漏洞主要包括App反编译重打包、组件劫持漏洞、密码泄露、第三方库漏洞WebView漏洞、系统服务漏洞。 Android 内存溢出与内存泄漏的简单分析与解决- http://blog.csdn.net/u014674558/article/details/62234008?ref=myread -- static引用泄露,将静态的改为软引用或非静态的...
webview常见的一些坑
yt522401813的专栏
06-18 1807
总结最近在看的一些资料和自己之前在实际应用中遇到的关于webview的问题: 1. webview 在android api16以及之前版本的安全漏洞,该漏洞是因为程序没有正确的限制webview.addjavascriptinterface方法,让远程攻击者可以使用java的反射机制利用该漏洞执行任意的java对象方法。 2. webview动态添加到其他布局的时候,在activity销毁的
Android WebView 使用总结
weixin_34362790的博客
08-26 104
2019独角兽企业重金招聘Python工程师标准>>> ...
Android Hybrid 和 WebView 解析
u011228868的专栏
03-12 444
 这篇博客主要来介绍 WebView 的相关使用方法常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析。   转载请注明出处:http://blog.csdn.net/self_study/article/details/54928371。   对技术感兴趣的同鞋加群 544645972 一起交流。现在市面上的 APP 根据类型大致可以分为 3 类:Native A...
WebView安全漏洞问题
qq_27623401的博客
02-17 743
一、WebView常见的一些坑        1、android API level 16 以及以前的版本存在远程代码执行漏洞,该漏洞由于程序没有正确限制使用webview.addJavascriptInterface方法,远程攻击者可以通过使用Java ReflectionAPI利用该漏洞执行任意Java对象方法。          2、webview在布局文件中的使用:webview写在其他容...
Android静态安全检测 -> WebView系统隐藏接口漏洞检测
4lwin博客
06-21 9149
WebView系统隐藏接口漏洞检测 - removeJavascriptInterface方法 1. 隐藏接口 searchBoxJavaBridge_ accessibility accessibilityTraversal 2. 触发条件 使用WebView 对应到smali语句中的特征:;->getSettings()Landroid/w
Android安全检测-WebView File域同源策略绕过漏洞
qq_35993502的博客
11-22 8277
这一章我们来学习“WebView File域同源策略绕过漏洞”。 一、漏洞原理
android WebView详解,常见漏洞详解和安全源码
02-13 343
  这篇博客主要来介绍 WebView 的相关使用方法常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析。  转载请注明出处:http://blog.csdn.net/self_study/article/details/54928371。  对技术感兴趣的同鞋加群 544645972 一起交流。 Android Hybrid 和 WebView 解...
Android:你不知道的 WebView 使用漏洞
weixin_34038293的博客
08-10 165
前言 如今非常多App里都内置了Web网页(Hyprid App),比方说非常多电商平台。淘宝、京东、聚划算等等。例如以下图 上述功能是由 Android的WebView 实现的。可是 WebView 使用过程中存在很多漏洞,easy造成用户数据泄露等等危急,而非常多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 ...
【Android】WebView安全漏洞问题
qq_30885821的博客
03-18 613
参考: https://blog.csdn.net/carson_ho/article/details/64904635 https://blog.csdn.net/qq_42014702/article/details/100899046 https://blog.csdn.net/feather_wch/article/details/82292061 webview常见的坑 (任意命令执行漏洞) API <= 16时,WebView.addJavascriptInterface()有安全
Android控件使用:WebView(一)
baopengjian的专栏
10-17 681
#1   webview = new WebView(this);            //实例化WebView对象,this为Context     #2  webview.loadUrl("http://www.51cto.com/");          //加载需要显示的网页        #3   webview.getSettings().setJavaScriptEnabled(t...
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
Android WebView中存在的安全漏洞
bigfc的博客
03-31 2908
开发中常见且需要注意的WebView安全漏洞解决方案 1.解决 CVE-2014-1939 漏洞 Android 4.4 之前版本webkit中内置了"searchBoxJavaBridge_"接口。攻击者可以通过访问searchBoxJavaBridge_接口利用该漏洞执行任意代码。 解决方案: webView.removeJavascriptInterface("searchBoxjavaBridge_"); 2.解决 CVE-2014-7224 漏洞 Android 4.4之前的版本webview
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dm菜鸟编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值