Android常见安全风险点之webview使用addJavascriptInterface风险

webview组件的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。

确保只在访问可信页面数据时才使用addjavascriptInterface调用java对象方法前对参数进行检查,避免执行恶意操作。
对于4.2以上android系统应用,使用@JavascriptInterface代替addjavascriptInterface限制对于该接口的使用来源,只允许可信来源访问该接口,例如使用WebViewClient中的shouldOverrideUrlLoading()来对加载的url进行检查。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
相关推荐:
Adnroid编译时报“finished with non-zero exit value”错误
Android 编译时出现“finished with non-zero exit value”,这是怎么了?一直找不到原因所在,搞得整个项目都跨了。 尝试恢复解决: 1.想想你刚刚动了啥导致的?如果可以,请备份后回退到之前的状态,试着看 …
Android常见安全风险点之外部存储风险
sdcard存储的信息可以被其他应用任意读取,如果有敏感信息会造成信息被恶意应用获取风险。 通过内部存储存文件openFileOutput(filename, Context.MODE_PRIVATE)或者对于敏感的数据加密后存储。
安卓开发的常见问题之找不到startSubActivity方法
在新的API版本下,请使用 startActivityForResult 方法来代替旧的startSubActivity方法。
安卓开发的常见问题之Unparsed aapt error(s)! Check the console for output
当你的控制台上找不到错误或者看不懂错误的时候,点 Project-->clean,清空下项目就会没问题。
Android常见安全风险点之导出activity组件
原因在于导出activity,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意调用,应用会产生拒绝服务等问题。 遇到这样的问题,如果它们只被同一个软件中的代码调用,将activity属性改为android:ex …
拿起手机扫一扫即可带走我!