Android--webview 漏洞 解析
2016-05-30 15:55
337 查看
1、webview远程代码执行漏洞:
漏洞详情:addJavascriptInterface存在高危远程代码执行漏洞,应尽量避免使用,API 17中用@JavascriptInterface
代替addjavascriptInterface;移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,accessibilityTraversal [
了解更多 ] [
实际案例 ]
修复建议:
应尽量避免使用,API
17中用@JavascriptInterface 代替addjavascriptInterface;移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,accessibilityTraversal
mWebView.removeJavascriptInterface("searchBoxJavaBridge_"); mWebView.removeJavascriptInterface("accessibility"); mWebView.removeJavascriptInterface("accessibilityTraversal");
2、WebView不校验证书漏洞
漏洞详情:
调用了android/webkit/SslErrorHandler类的proceed方法,可能导致WebView忽略校验证书的步骤
修复建议:
不要调用android.webkit.SslErrorHandler的proceed方法
相关文章推荐
- android 避免OOM
- ios中的成员变量定义在@interface 和@implementation 中的区别是什么?
- Objective-c中@interface、@implementation、@protocal
- 【android】:android常用控件属性简介
- Android 获取当前日期算前一年、前一月、前一天Calendar
- 蓝牙,WiFi(三)
- 从Profile中窥探Unity的内存管理
- 【android】:android如何实现对一个控件的监听
- 从Profile中窥探Unity的内存管理
- 苹果iOS开发中如何直接跳转到App Store里面
- AndroidStudio 编译问题org/gradle/api/publication/maven/internal/DefaultMavenFactory
- Android频道管理集成
- Android 状态栏通知Notification、NotificationManager详解
- Android自定义吐司(Toast)
- Android-- 详解App AllowBackup配置带来的风险
- Java4Android第1课:第一个应用程序Hello world
- Android自定义View简介
- Swift-类型转换(Type Casting)(十七)
- Html5实现移动端、PC端 刮刮卡效果
- 简单打飞碟游戏