Android常见安全风险点之webview使用searchBoxJavaBridge_风险

webview组件的接口函数searchBoxJavaBridge_存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。

调用removeJavascriptInterface(“searchBoxJavaBridge_”);方法移除searchBoxJavaBridge_(API16)。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为false。
  • 风险在于数据库数据泄露,可被删除、篡改等问题。 若有这方面的问题,其实可以参考WEB上对SQL的防护,通常可以是定向过滤、参数化等,也可以是白名单模式。 然而对于安卓而言,考虑到数据库文件就在本地,所以建议增加一环,将SQLITE文件进行加密,解密放在SO扩展中。
  • 使用SecureRandom时不要使用SecureRandom (byte[] seed)这个构造函数,会造成生成的随机数不随机。 建议通过/dev/urandom或者/dev/random获取的熵值来初始化伪随机数生成器PRNG。
  • 清除锁屏密码? 别怕,可以不用刷机的。 既能去掉密码又不弄丢数据,还能保持原的东西?当然有方法了,呵呵,废话不说了,下面教你了。 一、手机用数据线连接电脑,希望你的手机“USB调试”是开着的, 没开?哪你就进入fastboot吧,这个不用我教了吧。 二、使用adb命令,这个可以单独下载,也能从你电脑...
  • 在manifest.xml中定义Debuggable项,如果该项被打开,app存在被恶意程序调试的风险,可能导致泄漏敏感信息泄漏等问题。 显示的设置manifest的debuggable标志为false
微信扫一扫即可带走我!