Android安全编码
- WebView远程代码执行
- 在API16(Android 4.2 )及之前的系统上,如果使用WebView.addJavaScriptInterface方法来实现通过JavaScript调用应用本地java接口时,由于系统没有对注册的Java类方法调用做任何限制,导致攻击者可以通过使用Java反射API调用该漏洞来执行任意java对象的方法,从而达到攻击的目的。在JavaScript中注入java对象injectedObject的漏洞代码如下:
WebView webView = new WebView(this); webView.getSettings().setJavaScriptEnabled(true); webView.addJavascriptInterface(this,"injectedObject"); webView.loadUrl("http://www.asce1885.com/index.html"); - 攻击者html页面如下,可以获得getRuntime方法,从而执行一系列shell命令,为所欲为:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/> <script type="text/javascript"> function execute(cmdArgs) { return injectedObject.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); } </script> <title>Title</title> </head> <body> </body> </html>
- 在API16(Android 4.2 )及之前的系统上,如果使用WebView.addJavaScriptInterface方法来实现通过JavaScript调用应用本地java接口时,由于系统没有对注册的Java类方法调用做任何限制,导致攻击者可以通过使用Java反射API调用该漏洞来执行任意java对象的方法,从而达到攻击的目的。在JavaScript中注入java对象injectedObject的漏洞代码如下:
- 该漏洞的解决方案如下:
- api>16 .android给出的解决方案 在Java类的方法上使用@JavascriptInterface注解
- api<=16 强烈建议不要再使用addJavascriptInterface接口,转而使用safe-java-js-webview-bridge这个函数库
- 移除Android系统内部的如下默认接口(这个搞不明白)
Dana.Lee
To:Dana_Lee1016@126.com
