Android之WebView安全
16lz
2021-01-26
本地攻击
(1)Content Provider
SQL注入、实现openFile函数导致目录遍历
(2)Activity的导出、劫持问题
私有组件错误导出
(3)SQLite数据库
SQL注入、load_extension代码执行
1.WebView安全
Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外,还可利用HTML5的丰富交互效果和多媒体功能,直接开发App界面逻辑。 由于其复杂的功能实现和可访问远程内容的能力,可用于实现远程攻击。
(1)addJavascriptInterface远程代码执行漏洞
(2)hybrid Api设计不当
(3)未禁止记住密码
(4)忽略页面证书错误
(5)客户端跨站脚本
(6)允许file://协议访问
1.1 addJavascriptInterface
最常见的Javascript与Java层的通信方式。通过注入Java对象到WebView的javascript上下文,提供给页面访问本地代码的能力。
class JsObject{
@addJavascriptInterface
public String toString(){return "injectedObject";}
webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");
(1)在
更多相关文章
- Android(安卓)studio 快捷键汇总
- Android实现应用开机自启动
- Android(安卓)开发ListView适配器优化
- 下载最新Android代码的方法
- Android(安卓)不同手机分辨率适配(xml方式)
- 我的Android开发入门笔记(三):Starting Another Activity
- 本来想用“{{”秀一波,结果却导致了内存溢出!
- 没有一行代码,「2020 新冠肺炎记忆」这个项目却登上了 GitHub 中
- android和linux开源社区的分裂