Android常见安全风险点之webview使用三方插件风险

当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScriptEnabled(true),那么恶意攻击者就可以使用”accessibility” 和 “accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码。

只要在onPageStarted()方法中调用WebView.removeJavascriptInterface(“accessibility”);WebView.removeJavascriptInterface(“accessibilityTraversal”)方法显示的移除accessibility、accessibilityTraversal。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 当这个标志被设置为true或不设置该标志时应用程序数据可以备份和恢复,adb调试备份允许恶意攻击者复制应用程序数据。 在AndroidManifest.xml中设置android:allowBackup=\”false\”。
  • 使用SecureRandom时不要使用SecureRandom (byte[] seed)这个构造函数,会造成生成的随机数不随机。 建议通过/dev/urandom或者/dev/random获取的熵值来初始化伪随机数生成器PRNG。
  • 风险在于数据库数据泄露,可被删除、篡改等问题。 若有这方面的问题,其实可以参考WEB上对SQL的防护,通常可以是定向过滤、参数化等,也可以是白名单模式。 然而对于安卓而言,考虑到数据库文件就在本地,所以建议增加一环,将SQLITE文件进行加密,解密放在SO扩展中。
  • 检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为false。
  • 安卓手机有一些软件是在应用列表无法显示的,但它却可以运行,也可以通过其它方法启动,就是根据这个原理实现的。 教程: 1、反编译要编辑的软件,找到AndroidManifest.xml; 2、用记事本打开,找到以下字段: <category android:name="android.inten...
微信扫一扫即可带走我!