Android常见安全风险点之webview使用addJavascriptInterface风险

webview组件的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。

确保只在访问可信页面数据时才使用addjavascriptInterface调用java对象方法前对参数进行检查,避免执行恶意操作。
对于4.2以上android系统应用,使用@JavascriptInterface代替addjavascriptInterface限制对于该接口的使用来源,只允许可信来源访问该接口,例如使用WebViewClient中的shouldOverrideUrlLoading()来对加载的url进行检查。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
相关推荐:
Android常见安全风险点之HTTPS不校验证书
HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。 必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android …
如何让开发的安卓应用隐藏桌面软件图标?
安卓手机有一些软件是在应用列表无法显示的,但它却可以运行,也可以通过其它方法启动,就是根据这个原理实现的。 教程: 1、反编译要编辑的软件,找到AndroidManifest.xml; 2、用记事本打开,找到以下字 …
Android常见安全风险点之Manifest debuggable开启
在manifest.xml中定义Debuggable项,如果该项被打开,app存在被恶意程序调试的风险,可能导致泄漏敏感信息泄漏等问题。 显示的设置manifest的debuggable标志为false
安卓开发的常见问题之无法下载文件到SD卡中
在manifest文件中加上:<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
Android常见安全风险点之消息处理不当
Activity,Service等组件有些是对外开放的(manifest.xml 中 export为true或定义的intent-filter的组件是可导出组件),当这些组件传递的参数未做校验时,这些参数可能导致APP 拒绝服务。 请严格校验输入参 …
拿起手机扫一扫即可带走我!