(8)客户端app安全_webview安全风险

最新推荐文章于 2025-04-15 00:02:32 发布
最新推荐文章于 2025-04-15 00:02:32 发布
阅读量945 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: app安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43639443/article/details/103664190
本文介绍了WebView在客户端App中可能存在的安全风险,包括明文存储密码、远程代码执行漏洞、证书校验绕过、有风险的系统隐藏接口以及忽略SSL证书错误。这些风险可能导致用户数据泄露、恶意代码执行、中间人攻击等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WebView是一个基于webkit引擎、展现web页面的控件。

(1)Webview明文存储密码风险

Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。

(2)Webview远程代码执行漏洞

Webview是Android用于浏览网页的组件,其包含的接口函数addJavascriptInterface可以将Java类或方法导出以供JavaScript调用,实现网页JS与本地JAVA的交互。由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代码被执行,用户手机被安装木马程序,发送扣费短信,通信录或者短信被窃取,甚至手机被远程控制。

(3)Webview绕过证书校验漏洞

客户端的Webview组件访问使用HTTPS协议加密的url时,如果服务器证书校验错误,客户端应该拒绝继续加载页面。但如果重载WebView的onReceivedSslError()函数并在其中执行handler.proceed(),客户端可以绕过证书校验错误继续访问此非法URL。这样将会导致“中间人攻击”,攻击者冒充服务器与银行客户端进行交互,同时冒充银行客户端与银行服务器进行交互&#

最低0.47元/天 解锁文章
Android之WebView安全
laymenISmouse的专栏
01-30 947
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
Java EncryptionUtils 工具类
光束云
02-15 500
原文地址:http://www.work100.net/tools/code-java/encryption-utils.html 更多教程:光束云 - 免费课程 EncryptionUtils Java 中加密解密操作工具类。 主要功能特性: 对文本进行不可逆加密 支持多种加密方式:MD5、SHA256 密码加密自动加入Salt 源码如下: import org.apache.c...
Selinux
最新发布
2301_81704123的博客
04-15 375
当setenforce 的值被设置为 0 时,表示将 selinux 的模式设置为 permissive。permissive:宽容模式,处于这种模式下,允许进程和文件拥有对应的用户、角色、类型等标签,但是在访问时不使用这些标签,即不使用相应的规则。diabled:禁用模式,处于这种模式下,所有的进程和文件都不会有对应的标签。enforce:默认模式,处于这种模式下, 所以有进程和文件都需要满足定义的规则后才可以进行访问。在开启selinux后,我们可以通过 sestatus 命令来查看当前的状态。
阿里聚安全Webview安全攻防
自由人生
04-23 1493
背景:Webview安全风险之前一直没引起重视,直到addJavascriptInterface挂马漏洞拉开了Webview安全风险的序幕。由于Android版本的碎片化,导致Webview存在大量的Nday漏洞和安全风险。阿里聚安全专家将会对Webview存在的安全风险进行整理及防御方案探讨。 一、  UXSS漏洞攻击 Webview历史上存在大量的Nday漏洞,包括但不限于UXSS漏洞、远
Android静态安全检测 -> WebView系统隐藏接口漏洞检测
4lwin博客
06-21 9002
WebView系统隐藏接口漏洞检测 - removeJavascriptInterface方法 1. 隐藏接口 searchBoxJavaBridge_ accessibility accessibilityTraversal 2. 触发条件 使用WebView 对应到smali语句中的特征:;->getSettings()Landroid/w
Android Webview明文存储密码风险
糖小七_Zz的博客
05-12 1971
测评目的 检测App应用的Webview组件中是否使用明文保存用户名及密码。 危险等级 高 危害 Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。 测评结果 存在风险(发现4处) 测评结果...
WebView启动支付宝客户端支付失败的问题小结
08-31
在移动应用开发中,WebView与外部服务的交互是常见的需求,特别是涉及到支付功能时,如本文所述的WebView启动支付宝客户端支付。在这个过程中,开发者可能会遇到一些挑战,导致支付失败。以下是对这个问题的深入分析...
APP与后台安全性问题及应对方案
中控易动的博客
11-18 4060
一、客户端APP安全 1.反编译保护 问题描述:APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计。 处理措施:采用加密和混淆技术达到反编译保护,混淆技术作用是增加了用户反编译后阅读代码的难度。 2.APP二次打包 问题描述:“Android APP二次打包”则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是...
APP应用安全测试
m0_68271895的博客
02-27 1138
中国信息通信研究院发布的《移动应用数据安全与个人隐私保护白皮书(2019年)》显示,67%的App 存在5个及以上个人信息安全问题,18.5%的App 存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类问题上。 APP数据安全的检测,重点在对个人隐私保护上的检测。主要分为:隐私协议合规性、收集及使用个人信息合规性、权限申请及使用合规性、风险行为四部分。
移动APP安全漏洞分析技术与方法
06-01
针对金融类App安全漏洞,银监会曾经通报了8点风险,指出国内多家大型国有和股份制银行机构的手机银行客户端存在高位风险和漏洞。这些风险包括信息泄露、资金安全问题、SSL证书验证不完整、键盘劫持、代码反编译、...
Android WebView安全方面的一些坑
qq_53058639的博客
01-07 379
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
linux 退出服务器_在android搭建个人的文件中心(3)--Termux中安装ssh服务器并用作sftp服务器...
weixin_39979080的博客
10-22 489
本文是为了实现“在自已的android手机上运行文件服务器”这个想法而写的。本文续 在android搭建个人的文件中心(2)--Termux 这篇文章。未完待续说到文件服务器,大家一般会想到ftp。ftp是明文传输,它的安全性没有密文传输的sftp好。sftp与ftp的原理完全不同,它是靠ssh(secure shell)来实现的。ssh由ssh服务器和远程终端或客户端构成,它们之间进行加密的通迅...
WebView明文存储密码风险描述及解决方案
chichengjunma的专栏
07-21 3433
Android安全检测 - WebView系统隐藏接口漏洞
qq_35993502的博客
09-24 2000
这一章我们来学习“Webview系统隐藏接口漏洞”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 CVE-2014-1939: 在java/android/webkit/BrowserFrame.java文件中,通过API addJavaScriptInterface()添加了一个SearchBoxImpl类的对象searchBoxJavaBridge_,所以攻击者可通过searchBoxJavaBridge_对象进行反射攻击,通过访问searchBoxJavaBridge_接口利用该漏洞执行任意J
WebView漏洞:网络安全中的隐秘威胁
Unity打怪升级
09-02 1336
随着移动应用的普及,WebView成为了应用中不可或缺的组件之一。它允许开发者在应用内嵌入网页,为用户提供丰富的内容和交互体验。然而,WebView的广泛应用也带来了新的安全挑战。本文将探讨WebView漏洞的类型、成因以及如何防范这些漏洞。
Android中webview缓存密码带来的问题
一点一滴积累!
05-20 2350
乌云上发布了一个漏洞,称微信记录了用户微博账号的密码 这个问题的产生原因并不复杂:微信使用webview加载微博的OAuth登录和认证页面,并采用了webview的默认设置。这种情况下,用户输入账户和密码登陆微博时,系统会弹出提示询问是否保存密码。如果用户选择了是,密码就会保存在这个应用私有目录的databases/webview.db中。 同样地问题还出现在许多流行的应用软件中。在我
webview在android8.0,解决Android8.0系统应用打开webView报错
weixin_34422394的博客
05-26 986
由于webView存在安全漏洞,谷歌从5.1开始全面禁止系统应用使用webview,使用会导致应用崩溃错误提示:Caused by: java.lang.UnsupportedOperationException: For security reasons, WebView is not allowed in privileged processes 异常信息可以看出 是在 WebViewFact...
webview 安全漏洞
suo172的博客
09-20 547
webview 安全漏洞 api 16 (android 4.1)以前存在远程执行安全啊漏洞,原因 没有正确限制使用webview.addJavaScriptInterface,攻击者通过反射利用漏洞执行Java代码 webview 动态在布局中调用:写在容器中时候, 主要是内存泄露问题,webview没有及时销毁. 需要在aty销毁的时候,先吧webview在容器中销毁,再调用webvi...
app webview
07-27
App中的WebView是一个嵌入式的浏览器,它是嵌入在原生应用中的浏览器引擎。与传统浏览器不同,WebView只是原生应用的可视化组件,用于展示从服务器获取的内容,而不需要存储在本地。它具有灵活性,可以重用浏览器端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值