JS和安卓的常见漏洞和解决方法

最新推荐文章于 2023-05-08 16:07:33 发布
转载 最新推荐文章于 2023-05-08 16:07:33 发布 · 127 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hack132/p/5021524.html

本文详细介绍了在Android中使用WebView时可能出现的安全问题及相应的解决方案,包括如何正确配置WebView来防止常见的漏洞,如远程代码执行和密码明文存储等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、 JS调用的安卓方法必须放在一个Handler中执行

2、 webview可能造成漏洞,调用时分三种:

  •  addJavascriptInterface 进行js调用, 4.2以下有漏洞
  • 使用WebViewClient的shouldOverrideUrlLoading 进行url拦截,缺点是单向请求,有返回值的必须在通过js方法进行返回,适合于页面转换无返回值的情况
  • 重写WebViewClient 的 onJsAlert (弹框)、onJsConfirm(是否)onJsPrompt(得到返回值) 三个方法进行url判断

3、webview 常见漏洞: 

  •   CVE-2012-6636 (Android4.2 以下): WebView 中  addJavascriptInterface 接口会引起远程代码执行漏洞 ,解决办法:不使用addJavascriptInterface 
  •   CVE-2013-4710  (Android4.2以下):  针对某些特定机型会存在 addJavascriptInterface API 引起的远程代码执行漏洞,解决办法:不使用 addJavascriptInterface 
  •   CVE-2014-1939 (Android4.4 以下):  WebView 中的 “searchBoxJavaBridge_” Java Object 可能被利用,实现远程任意代码 ,解决方法 webView.removeJavascriptInterface("searchBoxJavaBridge_");
  •   CVE-2014-7224 (Android4.4 以下):  WebView 中的 “accessibility” 和 “accessibilityTraversal” 两个 Java Object 接口,可被利用实现远程任意代码执行 解决方法 参照 CVE-2014-1939
  •  WebView 密码明文存储漏洞 :  mWebView.setSavePassword(true),如果该功能未关闭,当弹出提示框询问用户是否保存密码选择是以后,密码就被明文存储到安装路径下,所以应该设置为false
  •  WebView 域控制不严格漏洞 :  
    setAllowFileAccess(true)   // 是否允许 WebView 使用 File 协议 , 在 File 域下,能够执行任意的 JavaScript 代码 
    setAllowFileAccessFromFileURLs // 是否允许通过 file url 加载的 Javascript 读取其他的本地文件,android 4.1以下默认允许, android 4.1以默认禁止
    setAllowUniversalAccessFromFileURLs // 设置是否允许通过 file url 加载的 Javascript 可以访问其他的源  android 4.1以下默认允许, android 4.1以默认禁止

    综上,使用以下配置让webview可以访问本地html文件,同时杜绝其中的js访问本地文件或者读取其他的源

    setAllowFileAccess(true);                               //设置为 false 将不能加载本地 html 文件
setAllowFileAccessFromFileURLs(false);
setAllowUniversalAccessFromFileURLs(false);

  • 使用符号链接跨源:当webview 不能访问本地文件和读取其他源以后,其中的js还是能访问当前文件,通过 javascript 的延时执行和将当前文件替换成指向其它文件的软链接就可以读取到被符号链接所指的文件,前提是允许 file URL 执行 javascript,解决办法

  •  1、对于不需要使用 file 协议的应用,禁用 file 协议;

      setAllowFileAccess(false); //设置为 false 将不能加载本地 html 文件

      setAllowFileAccessFromFileURLs(false);

      setAllowUniversalAccessFromFileURLs(false);

     2、根据不同情况不同处理(无法避免应用对于无法加载的页面下载到 sd 卡上这个漏洞):

      setAllowFileAccess(true); //设置为 false 将不能加载本地 html 文件

      setAllowFileAccessFromFileURLs(false);

      setAllowUniversalAccessFromFileURLs(false);

      if (url.startsWith("file://") { setJavaScriptEnabled(false); } else { setJavaScriptEnabled(true); }

参考:http://blog.youkuaiyun.com/self_study/article/details/55046348 

转载于:https://www.cnblogs.com/hack132/p/5021524.html

JS常见的安全漏洞
qq_34309704的博客
04-09 1万+
  1、基于DOM的跨站点脚本编制(XSS) ①XSS(Cross Site Script):跨站点脚本编制,指的是攻击者向合法的web页面插入恶意的脚本代码(通常是是HTML代码JS代码),然后提交给服务器,随即服务器响应页面(被植入的恶意脚本代码),攻击者可以利用这些恶意脚本代码进行会话挟持登攻击。例如:攻击者在论坛中放一个看似安全得连接,骗取用户点击之后,盗取cookies得用户隐私信...
PHP中安全漏洞报错的解决方法
shejizuopin的博客
04-29 995
PHP中的安全漏洞报错问题是一个复杂而严峻的挑战,但通过采取一系列有效的解决方法,我们可以大大降低安全风险。从使用参数化查询防止SQL注入,到对用户输入进行严格的验证过滤防止XSS攻击;从限制文件上传访问权限防止文件包含漏洞,到禁用不安全函数防止RCE漏洞,每一个环节都至关重要。同时,合理的安全配置强化访问控制也能为系统的安全提供有力保障。而监控日志记录则有助于我们及时发现应对潜在的安全威胁。
JS安全漏洞-1.1
caishu1995的博客
01-09 892
1、基于DOM的跨站点脚本编制     XSS(cross site script,跨站脚本攻击),指的是攻击者向合理的web中插入恶意脚本代码,然后提交给服务器,随机服务器相应页面即被植入攻击者的恶意脚本代码。      应对方法:1、不信任用户输入的内容 2、对输入的内容进行转义 3、防止攻击者通过利用document.的属性植入恶意脚本   2、通过URL重定向钓鱼   3、客户...
Android调用js安全问题,Android应用中的JavaScript使用模式及其安全漏洞分析
weixin_39526651的博客
05-27 397
摘要:近年来,Android应用中的安全漏洞迅速增长.由于大部分Android应用需要访问Web页面,导致JavaScript相关的安全漏洞占据了这些安全漏洞的40%,严重威胁到用户的隐私安全.然而,目前业界对于Android应用中JavaScript安全漏洞的研究存在三点不足:一是没有全面研究所有类型JavaScript安全漏洞的形成原因攻击方式;二是没有调研Android应用中JavaScr...
android 4.4.2 安全漏洞修复
shark1621的博客
12-12 7814
环境:android 4.4.2 漏洞扫描工具:360vulscanner_offical.apk  360透视镜 解决漏洞:CVE-2015-6764   CVE-2016-1677  CVE-2016-3897   CVE-2016-2439   1.CVE-2015-6764 Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Google V8是其中...
android与js交互,以及webview漏洞修复问题
Gudio的博客
03-08 709
webview 使用记录
180120 逆向-AndroidApp常见漏洞挖掘技巧
whklhhhh的博客
01-20 8373
1625-5 王子昂 总结《2018年1月20日》 【连续第477天总结】 A. Android App常见漏洞挖掘技巧 B.基本知识Android架构 Kernel内核层 漏洞危害极大,通用性强 驱动由于多而杂,也可能存在不少漏洞 Libaries系统运行库层 系统中间件形式提供的运行库 包括libc、WebKit、SQLite等等 AndroidRunTime Dalvik虚拟
Web系统常见安全漏洞介绍及解决方案-sql注入
web15286201346的博客
07-31 1043
使用ORM框架对sql注入是有积极意义的,在实际解决SQL注入时,还有一个难点就是应用复杂后,代码数量庞大,难以把可能存在sql注入的地方不遗漏的找出来,而ORM框架为我们发现问题提供了一个便捷的途径。这个探测方法有若干变体,例如,发送';例如,如果应用程序根据用户的输入(如用户名密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(/或密码部分),查询便可能更改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行Shell命令的查询。...
Android应用中的常见漏洞总结(下)
Jinmindong
03-24 584
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Android WebView常见问题与解决方法
在Android应用开发中,WebView是一个重要...解决上述WebView问题,需要开发者深入理解WebView的工作原理配置方法,以及对应的API使用。通过不断测试优化,开发者可以为用户打造更加稳定、安全且友好的Web浏览体验。
JavaScript安全性:XSS、CSRFCORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4980
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤验证用户输入、使用安全的JavaScript库框架、使用CSRF令牌配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSS、CSRFCORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
JavaScript 常见安全漏洞及自动化检测技术(转自IBM技术博客)
weixin_34384681的博客
12-18 795
2019独角兽企业重金招聘Python工程师标准>>> ...
JS敏感信息泄露:不容忽视的WEB漏洞
swordheart的博客
04-24 5416
0x00 前言 这段时间jsonp漏洞再一次证明了一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开未公开的漏洞详细阐述此类漏洞。 0x01 漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务
webview屏蔽页面提示记住密码对话框
学习笔记
09-25 847
WebSettings set = mShopWeb.getSettings(); set.setSavePassword(false); set.setSaveFormData(false); 转载自:http://zhidao.baidu.com/link?url=x7QHDVo2Ym_3uAV6WbiTw61zRmMb9hPZmyED3bg4mgnv...
Android WebView的Js对象注入漏洞解决方案
热门推荐
永远即等待的专栏
09-30 8万+
Android webview注入JS对象引发的安全漏洞,恶意的JS脚本可以读取到SDcard上面的任何文件,本文给出了这种漏洞的一种解决方案。
Java实现文档表格转PDF并支持在线浏览
最新发布
08-09
资源下载链接为: https://pan.quark.cn/s/22ca96b7bd39 在 IT 领域,文档格式转换是常见需求,尤其在处理多种文件类型时。本文将聚焦于利用 Java 技术栈,尤其是 Apache POI iTextPDF 库,实现 doc、xls(涵盖 Excel 2003 及 Excel 2007+)以及 txt、图片等格式文件向 PDF 的转换,并实现在线浏览功能。 先从 Apache POI 说起,它是一个强大的 Java 库,专注于处理 Microsoft Office 格式文件,比如 doc xls。Apache POI 提供了 HSSF XSSF 两个 API,其中 HSSF 用于读写老版本的 BIFF8 格式(Excel 97-2003),XSSF 则针对新的 XML 格式(Excel 2007+)。这两个 API 均具备读取写入工作表、单元格、公式、样式等功能。读取 Excel 文件时,可通过创建 HSSFWorkbook 或 XSSFWorkbook 对象来打开相应格式的文件,进而遍历工作簿中的每个 Sheet,获取行列数据。写入 Excel 文件时,创建新的 Workbook 对象,添加 Sheet、Row Cell,即可构建新 Excel 文件。 再看 iTextPDF,它是一个用于生成修改 PDF 文档的 Java 库,拥有丰富的 API。创建 PDF 文档时,借助 Document 对象,可定义页面尺寸、边距等属性来定制 PDF 外观。添加内容方面,可使用 Paragraph、List、Table 等元素将文本、列表表格加入 PDF,图片可通过 Image 类加载插入。iTextPDF 支持多种字体样式,可设置文本颜色、大小、样式等。此外,iTextPDF 的 TextRenderer 类能将 HTML、
elasticsearch-0.12.0.jar中文文档.zip
08-09
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
elasticsearch-6.2.1.jar中文文档.zip
08-09
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值