webView常见漏洞以及解决方法
2016-10-25 14:14
375 查看
1.Android 4.4 之前的版本 webkit 中内置了”searchBoxJavaBridge_”接口。攻击者可通过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码。
解决方法:webView.removeJavascriptInterface("searchBoxjavaBridge_");2.Android 4.4 之前的版本 WebView 内置导 出“accessibility”“accessibilityTraversal” 两个JavaObject 接口,可被利用实现远程任意代码执行。
解决方法:webView.removeJavascriptInterface("accessibility"); webView.removeJavascriptInterface("accessibilityTraversal");
3.解决 WebView File域同源策略绕过漏洞,应用程序一旦使用WebView并支持File域,就会受到该漏洞的攻击。该漏洞源于:JavaScript的延时执行能够绕过file协议的同源检查,并能够访问受害应用的所有私有文件。
解决方案:
setting.setAllowFileAccess(false);
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN) {
setting.setAllowFileAccessFromFileURLs(false);
setting.setAllowUniversalAccessFromFileURLs(false);
}
4.解决 WebView 密码存储漏洞,Android 系统 WebView 默认开启密码保存功能 mWebView.setSavePassword(true)
密码没有加密被保存到/data/data/com.package.name/databases/webview.db。
解决方案:关闭密码保存提醒功能,不保存密码,setting.setSavePassword(false);//关闭密码保存提醒功能
5.远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法
解决方案:
Google 在 4.2 版本之后,规定允许被调用的函数必须以@JavascriptInterface 进行注解.
低于4.2版本,我们不能再调用addJavascriptInterface方法。我们通过 JS中的prompt与Android应用进行通信。Android对应的prompt数据接收。
public final boolean onJsPrompt(WebView view, String url, String message, String defaultValue, JsPromptResult result) {
return super.onJsPrompt(view, url, message, defaultValue, result);
}
相关文章推荐
- 五个常见的Web应用漏洞及其解决方法
- Web开发常见的几个漏洞解决方法
- 五个常见的Web应用漏洞及其解决方法
- Web开发常见的几个漏洞解决方法
- Webview与js交互漏洞及解决方法(有注释代码)
- Webview的一些问题汇总以及解决方法
- 【dede常见漏洞以及解决方法】
- Web工程中创建Servlet常见的问题以及解决方法
- Web开发常见的几个漏洞解决方法
- Web开发常见的几个漏洞解决方法
- 五个常见的Web应用漏洞及其解决方法
- dede常见漏洞以及解决方法
- Android WebView问题汇总以及解决方法
- 带进度条的WebVeiw实现以及进度条和webview之间有空隙的解决方法
- 13 五个常见的Web应用漏洞及其解决方法
- 常见web漏洞——启动了不安全的HTTP方法解决办法
- dede常见漏洞以及解决方法 推荐
- Web开发常见的几个漏洞解决方法
- Android webview 写入cookie的解决方法以及一些属性设置
- 两个最常见的“404错误”以及解决方法