☺️️近期我们正在更新一个新样式,希望你会喜欢!
Android常见安全风险点之webview使用三方插件风险

当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScriptEnabled(true),那么恶意攻击者就可以使用”accessibility” 和 “accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码。

只要在onPageStarted()方法中调用WebView.removeJavascriptInterface(“accessibility”);WebView.removeJavascriptInterface(“accessibilityTraversal”)方法显示的移除accessibility、accessibilityTraversal。

相关推荐:
由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,例如向getXXXExtra()传入自定义的序列 […]
在使用startActivityForResult()和onActivityResult()时,会分别用到request […]
webview组件的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现 […]
webview中开启JavaScript、Plugin插件,文件访问等功能,可能会存在文件篡改、信息泄漏、远程代码执行等 […]
Android4.1之前的版本中,sdcard跟路径通过“/sdcard”或者“/mnt/sdcard”来表示,而在Je […]
手机扫一扫即可带走我!