WebView远程代码执行漏洞学习并复现 |
您所在的位置:网站首页 › java Android api › WebView远程代码执行漏洞学习并复现 |
建议不要使用addJavascriptInterface接口,以免带来不必要的安全隐患,请参照博文《在Webview中如何让JS与Java安全地互相调用》[6]。 如果一定要使用addJavascriptInterface接口: 1) 如果使用HTTPS协议加载URL,应进行证书校验防止访问的页面被篡改挂马; 2) 如果使用HTTP协议加载URL,应进行白名单过滤、完整性校验等防止访问的页面被篡改; 3) 如果加载本地Html,应将html文件内置在APK中,以及进行对html页面完整性的校验; 3.移除Android系统内部的默认内置接口 WebView远程代码执行相关的漏洞主要有CVE-2012-6336,CVE-2014-1939,CVE-2014-7224, 这些漏洞中最核心的漏洞是CVE-2012-6336,另外两个CVE只是发现了几个默认存在的接口 CVE-2014-1939 java/android/webkit/BrowserFrame.java 使用addJavascriptInterface API并创建了SearchBoxImpl类的对象。攻击者可通过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码: 1 removeJavascriptInterface ( "searchBoxJavaBridge_" )Google Android |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |