开发中常见且需要注意的WebView安全漏洞和解决方案
1.解决 CVE-2014-1939 漏洞
Android 4.4 之前版本webkit中内置了"searchBoxJavaBridge_"接口。攻击者可以通过访问searchBoxJavaBridge_接口利用该漏洞执行任意代码。
解决方案:
webView.removeJavascriptInterface("searchBoxjavaBridge_");
2.解决 CVE-2014-7224 漏洞
Android 4.4之前的版本webview内置导出"accessibility"和"accessibilityTraversal"两个JavaObject接口,可以被利用实现远程任意代码执行。
解决方案:
webView.removeJavascriptInterface("accessibility");
webView.removeJavascriptInterface("accessibilityTraversal");
3.解决 WebView File域同源策略绕过漏洞
应用程序一旦使用webview并支持File域,就会受到该漏洞的攻击。该漏洞源于:JavaScript的延时执行能够绕过file协议的同源检查,并能够访问受害应用的所有私有文件。
解决方案:
setting.setAllowFileAccess(false);
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN) {
setting.setAllowFileAccessFromFileURLs(false);
setting.setAllowUniversalAccessFromFileURLs(false);
}
4.解决 WebView 密码存储漏洞
Android系统中WebView默认开启密码了保存功能,密码没有加密的被保存到了/data/data/<包名>/databases/webview.db 中。
解决方案:
//关闭密码保存提醒功能,不保存密码
setting.setSavePassword(false);
5.解决CVE-2012-6636漏洞
远程攻击者可通过使用Java Reflection API 利用该漏洞执行任意Java对象的方法。
解决方案:
Google 在4.2 版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解。低于4.2的版本,我们不能再调用addJavascriptIntetface方法。
我们通过Js中的prompt与Android应用进行通信:
public final boolean onJsPrompt(WebView view, String url, String message,
String defaultValue, JsPromptResult result) {
return super.onJsPrompt(view, url, message, defaultValue, result);
}
参考文章:Android WebView 安全漏洞解决方案
