Android常见安全风险点之webview使用三方插件风险

当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScriptEnabled(true),那么恶意攻击者就可以使用”accessibility” 和 “accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码。

只要在onPageStarted()方法中调用WebView.removeJavascriptInterface(“accessibility”);WebView.removeJavascriptInterface(“accessibilityTraversal”)方法显示的移除accessibility、accessibilityTraversal。

标签:
检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为fals […]
Activity,Service等组件有些是对外开放的(manifest.xml 中 export为true或定义的in […]
在新的API版本下,请使用 startActivityForResult 方法来代替旧的startSubActivity […]
android:layout_gravity=”center_vertical”
存在内容被替换的风险,openFileOutput禁止使用MODE_WORLD_READABLE和MODE_WORLD_ […]
手机扫一扫即可带走我!