Android常见安全风险点之webview使用addJavascriptInterface风险

webview组件的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。

确保只在访问可信页面数据时才使用addjavascriptInterface调用java对象方法前对参数进行检查,避免执行恶意操作。
对于4.2以上android系统应用,使用@JavascriptInterface代替addjavascriptInterface限制对于该接口的使用来源,只允许可信来源访问该接口,例如使用WebViewClient中的shouldOverrideUrlLoading()来对加载的url进行检查。

相关推荐:
android:layout_gravity="center_vertical"
在manifest.xml中定义Debuggable项,如果该项被打开,app存在被恶意程序调试的风险,可能导致泄漏敏感信息泄漏等问题。 显示的设置manifest的debuggable标志为false
键盘区域外才是屏幕的边缘,定义布局文件时使用:android:gravity="bottom"的话就会被挤到上部。 解决办法: 在此工程的androidMainfest.xml文件中对应的Activity中写入 android:windowSoftInputMode="adju …
GPhone的模拟器有个特有的号码:15555218135,这个就类似我们实体手机的SIM卡号码啦。 要实现拨号,用手机?当然不行! 更简单,三步: 1.打开终端 2.连接: telnet localhost 5554(5554是你打开模拟器后上 …
隐式intent没有明确指明哪些接收方有权限接收,恶意程序指定action标识后,可以获取intent内容,导致数据泄露,intent劫持,仿冒,钓鱼应用等风险。 使用Intent.setPackage、Intent.setComponent、Intent.s …
拿起手机扫一扫即可带走我!