Android平台WebView控件存在跨域访问高危漏洞的补救方法

最新推荐文章于 2025-06-04 16:37:59 发布
最新推荐文章于 2025-06-04 16:37:59 发布
阅读量838 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: androidStudio androidPromote 文章标签: android 漏洞 webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenbing81/article/details/79123480
2017年发现的Android WebView跨域访问漏洞(CNVD-2017-36682),允许远程获取用户隐私数据,并窃取登录凭证。影响大量应用程序,构成严重威胁。文中提供了解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。
http://www.cnvd.org.cn/webinfo/show/4365

官网也公布了影响范围和补救方案,在此就不说了。需要注意的是如果你的项目最低支持的SDK版本小于16,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API,编译器编译的过程是会报错的。

官方建议在 Android 4.1 的版本前显式设置这两个 API 的值,但编译器却不能够识别,这又该怎么办才好?

在这里向大家介绍一个注解标签: TargetApi

使用这个标签即向编译器表明了方法使用的编译器版本,这样就可以完善解决这个小问题了。

报错的状态

添加注解后的结果

AndroidWebView漏洞分析和应用克隆问题情景还原(免Root获取应用沙盒数据)
编码美丽
04-02 901
一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了WebVie
Android漏洞解析之旅---WebView漏洞分析和应用被克隆问题情景还原(免Root获取应用沙盒数据)
尼古拉斯.赵四的博客
02-29 1115
一、前言 去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现,感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了Web...
Android WebView存在访问漏洞(CNVD-2017-36682)介绍及解决
wangxiaowu1986的博客
01-17 1569
安全公告编号:CNTA-2018-0005 2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用
安卓WebView实现与网页访问开源项目
最新发布
weixin_29097457的博客
06-04 717
Android平台上,WebView是一个系统组件,用于在移动设备上展示网页。它本质上是一个视图(View),允许应用内嵌一个浏览器,可以加载和渲染网页内容。开发者可以通过WebView组件访问互联网上的HTML、CSS和JavaScript资源,从而使得Android应用有能力展示丰富的Web内容,而不必依赖于外部浏览器。HTML5作为最新一代的超文本标记语言,经历了长期的发展和演化。
Android WebView访问漏洞
weixin_38031122的博客
02-08 4201
一、漏洞名称Android WebView存在访问漏洞 二、漏洞描述       Android WebView存在访问漏洞。该漏洞产生的原因是由于Android应用WebView开启了file访问,且允许file访问http,未对file的路径做严格限制所致。攻击者可以利用漏洞,远程获取APP中的所有本地敏感数据。 三、漏洞危害攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应...
android最新漏洞,关于Android平台WebView控件存在高危漏洞的安全公告
weixin_36060412的博客
05-25 444
原标题:关于Android平台WebView控件存在高危漏洞的安全公告2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制...
android 使用webview控件,注意在android9.0以后必须使用https才能访问网页
03-11
Android应用开发中,WebView控件是一个非常重要的组件,它允许开发者在应用程序内嵌入一个浏览器,以便用户能够浏览网页内容。然而,随着网络安全性的不断提升,Android系统对WebView的使用也有了更严格的要求。在...
Android开发中使用WebView控件浏览网页的方法详解
08-29
Android开发中使用WebView控件浏览网页的方法有很多,本文将详细介绍Android开发中使用WebView控件浏览网页的方法,包括WebView控件的功能、布局、设置、常用方法及相关操作技巧。 WebView控件的功能 -----------...
android webview ,实战Webview访问风险
weixin_39974030的博客
05-27 1741
漏洞原理:WebView对象的行为是通过WebSettings类进行设置的,如果配置不当,攻击者就可以利用该漏洞可以打破Android沙盒隔离机制,从而通过某个应用来攻击其它应用,盗取其它应用本地保存的配置文件、敏感信息等。主要利用了android.webkit.WebSettings类中setAllowFileAccess()、setJavaScriptEnabled()、setAllowFil...
Android WebView控件捕获用户输入的信息
09-02
Android开发中,WebView...需要在`JavaScriptInterface`类的方法上添加`@JavascriptInterface`注解,并确保在Android 4.2及以上版本中开启`WebSettings.setAllowUniversalAccessFromFileURLs(false)`和`WebSettings....
WebView使用漏洞
qq_39431405的博客
02-07 1344
webview使用漏洞
CORS访问漏洞
没有网络安全就没有国家安全
08-20 3467
本篇文章主要讲解CSRF漏洞的原理,并复现漏洞和利用
IOS中UIWebView的UXSS漏洞及修复方法
xiao_quan的专栏
01-12 2781
做IOS开发的同学经常用到UIWebView,大多时候是加载外部地址,但是有一些时候也会用来加载本地的html文件。 UIWebView加载外部地址的时候遵循了“同源”策略,而加载本地网页的时候却绕够了“同源”策略,导致可以访问系统任意路径。 这就是UIWebView存在的UXSS漏洞。已知尚未修复该漏洞App有:微盘、文件全能王、QQ阅读。 漏洞复现方式大体相似,现在微盘为例: 在P
Android控件使用:WebView(一)
baopengjian的专栏
10-17 639
#1   webview = new WebView(this);            //实例化WebView对象,this为Context     #2  webview.loadUrl("http://www.51cto.com/");          //加载需要显示的网页        #3   webview.getSettings().setJavaScriptEnabled(t...
最佳实践-android程序安全
com360的专栏
09-28 2274
自文章主要是翻译的官网文章,同时也加入了自己的理解,如有不准确之处,请指正 http://developer.android.com/guide/practices/security.html 一些虚拟机运行在一个安全边界内,与所在的操作系统的程序隔离开来,比如java虚拟机和.net 运行环境。 在android上,Dalvik虚拟机没有这样的安全边界,应用程序沙箱是实现在操作系统
Android Webview、localStorage数据存储、android原生与js互调
qq_36158551的博客
02-19 5838
不是说上面代码写的是错误的,而是这样写的确有问题, 因为Webview浏览器并未打开找不到localStorage,所以要想解决这个问题就得先打开AndroidWebview浏览器才能找到localStorage。有人问我是不是需要写布局文件,不写行不行,现在我就告诉你们,不写没问题,需要写就写不写直接创建New一个也行。下面我就介绍一个,我new一个Webview实现localStorage。有人问我是不是需要写布局文件,不写行不行,现在我就告诉你们,不写没问题,需要写就写不写直接创建New一个也行。
webview问题解决方案
热门推荐
yclfdn2004的专栏
05-10 3万+
hi,all      本邮件分六部分:目的、意义、步骤、具体实现及测试办法,调研结论(3点),额外思考 一、调研目的         浏览器的同源策略阻止了访问,本次调研目的就是为了解决这个问题,让客户端可访问其他网站 二、意义:           1、问题的解决,扩展了客户端解决缓存问题的思路,可达到完全控制缓存、较好的利用缓存的目的,从而可利用缓存达到提高H5页面
Android webview问题解决小记
qq_28026283的博客
08-28 1万+
android开发中,webview常用于显示网页或h5页面,一个遇到方面的坑。 但是在android上在api 23之前,是可以读取cookie的,比如A写入一个userId的cookie,B可以读取该值。但是在23时,系统将该值设置成了false,不再让读取了。如果你的应用读取需求,怎么办?可以采用如下方式进行开启: /*** 设置cookie读取*/ public final void setAcceptThirdPartyCookies() { //target 23 de
深入理解Android WebView控件及其应用实例
Android WebView是一个系统组件,允许Android应用显示网页。它实际上是一个视图(View),用于在应用中显示网页,你可以将其视为一个简单的浏览器。Android WebViewAndroid 4.4(API 级别 19)中得到了重大改进,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值