WebView漏洞

技術小甜發表於2017-11-15

WebView的漏洞有多少?

http://jaq.alibaba.com/blog.htm?spm=0.0.0.0.4O9HwS&id=89


Android 4.2以下版本開發時WebView不止是呼叫了addJavascriptInterface才會有風險,只要用了WebView就會有問題,比如預設加入的searchBoxJavaBridge_物件:

http://blog.sina.com.cn/s/blog_777f9dbb0102v8by.html

http://wolfeye.baidu.com/blog/android-webview/


accessibility和accessibilityTraversal,如果手機系統版本低於(不含)4.4,而且開啟了系統輔助功能中的某一項服務就有可能受到此威脅。

http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/




Android安全開發之WebView中的大坑

http://blog.csdn.net/zhangcanyan/article/details/51930775


安全開發建議

 

1)建議開發者通過以下方式移除該JavaScript介面:

  removeJavascriptInterface(“searchBoxJavaBridge_”)

  removeJavascriptInterface(“accessibility”);

  removeJavascriptInterface(“accessibilityTraversal”)

2)出於安全考慮,為了防止Java層的函式被隨便呼叫,Google在4.2版本之後,規定允許被呼叫的函式必須以@JavascriptInterface進行註解

3)通過WebSettings.setSavePassword(false)關閉密碼儲存提醒功能

4)通過以下設定,防止越權訪問,跨域等安全問題: 

  setAllowFileAccess(false)

  setAllowFileAccessFromFileURLs(false)

  setAllowUniversalAccessFromFileURLs(false)

本文轉自fatshi51CTO部落格,原文連結:http://blog.51cto.com/duallay/1876506 ,如需轉載請自行聯絡原作者


相關文章