本地攻击

(1)Content Provider

         SQL注入、实现openFile函数导致目录遍历

(2)Activity的导出、劫持问题

        私有组件错误导出

(3)SQLite数据库

       SQL注入、load_extension代码执行

 

1.WebView安全

Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外,还可利用HTML5的丰富交互效果和多媒体功能,直接开发App界面逻辑。  由于其复杂的功能实现和可访问远程内容的能力,可用于实现远程攻击。

(1)addJavascriptInterface远程代码执行漏洞

(2)hybrid Api设计不当

(3)未禁止记住密码

(4)忽略页面证书错误

(5)客户端跨站脚本

(6)允许file://协议访问

1.1 addJavascriptInterface

最常见的Javascript与Java层的通信方式。通过注入Java对象到WebView的javascript上下文,提供给页面访问本地代码的能力。

class JsObject{

@addJavascriptInterface

public String toString(){return "injectedObject";}

webView.addJavascriptInterface(new JsObject(), "injectedObject");

webView.loadData("", "text/html", null);

webView.loadUrl("javascript:alert(injectedObject.toString())");

(1)在

更多相关文章

  1. Android(安卓)studio 快捷键汇总
  2. Android实现应用开机自启动
  3. Android(安卓)开发ListView适配器优化
  4. 下载最新Android代码的方法
  5. Android(安卓)不同手机分辨率适配(xml方式)
  6. 我的Android开发入门笔记(三):Starting Another Activity
  7. 本来想用“{{”秀一波,结果却导致了内存溢出!
  8. 没有一行代码,「2020 新冠肺炎记忆」这个项目却登上了 GitHub 中
  9. android和linux开源社区的分裂

随机推荐

  1. Android(安卓)ZXing源码简化
  2. Android中资源的引用
  3. Android(安卓)使用Rtmp音视频推流
  4. Android之浅谈Android中的MVP
  5. 浅谈 MVP in Android
  6. 史上最全的Android文章精选合集
  7. Android(安卓)虚拟机常用快捷键
  8. 使用LinearLayout线性布局编写左上右上左
  9. Google 地图 API for Android
  10. 辅助功能 AccessibilityService笔记