欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析-創(chuàng)新互聯(lián)

1. WebView 遠(yuǎn)程代碼執(zhí)行漏洞描述

創(chuàng)新互聯(lián)公司不只是一家網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司;我們對(duì)營銷、技術(shù)、服務(wù)都有自己獨(dú)特見解,公司采取“創(chuàng)意+綜合+營銷”一體化的方式為您提供更專業(yè)的服務(wù)!我們經(jīng)歷的每一步也許不一定是最完美的,但每一步都有值得深思的意義。我們珍視每一份信任,關(guān)注我們的成都網(wǎng)站建設(shè)、做網(wǎng)站質(zhì)量和服務(wù)品質(zhì),在得到用戶滿意的同時(shí),也能得到同行業(yè)的專業(yè)認(rèn)可,能夠?yàn)樾袠I(yè)創(chuàng)新發(fā)展助力。未來將繼續(xù)專注于技術(shù)創(chuàng)新,服務(wù)升級(jí),滿足企業(yè)一站式營銷型網(wǎng)站需求,讓再小的品牌網(wǎng)站制作也能產(chǎn)生價(jià)值!

      Android API level 16以及之前的版本存在遠(yuǎn)程代碼執(zhí)行安全漏洞,該漏洞源于程序沒有正確限制使用WebView.addJavascriptInterface方法,遠(yuǎn)程攻擊者可通過使用Java Reflection API利用該漏洞執(zhí)行任意Java對(duì)象的方法,簡單的說就是通過addJavascriptInterface給WebView加入一個(gè)JavaScript橋接接口,JavaScript通過調(diào)用這個(gè)接口可以直接操作本地的JAVA接口。該漏洞最早公布于CVE-2012-6636【1】,其描述了WebView中addJavascriptInterface API導(dǎo)致的遠(yuǎn)程代碼執(zhí)行安全漏洞。


      該漏洞公布的近期,多款A(yù)ndroid流行應(yīng)用曾被曝出高危掛馬漏洞:點(diǎn)擊消息或朋友社區(qū)圈中的一條網(wǎng)址時(shí),用戶手機(jī)然后就會(huì)自動(dòng)執(zhí)行被掛馬的代碼指令,從而導(dǎo)致被安裝惡意扣費(fèi)軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠(yuǎn)程控制等嚴(yán)重后果。在烏云漏洞平臺(tái)上,包括Android版的微信、QQ、騰訊微博、QQ瀏覽器、快播、百度瀏覽器、金山瀏覽器等大批TOP應(yīng)用均被曝光同類型的漏洞。


      論文Attacks on WebView in the Android System【2】中指出可以利用所導(dǎo)出的讀寫文件接口來進(jìn)行文件的讀寫操作,攻擊者可以通過中間人攻擊篡改Webview所顯示的頁面來達(dá)到對(duì)手機(jī)文件系統(tǒng)的控制。


2. WebView 遠(yuǎn)程代碼執(zhí)行影響范圍


      Android API level 小于17 (即Android 4.2之前的系統(tǒng)版本)


3.WebView 遠(yuǎn)程代碼執(zhí)行漏洞詳情


1) WebView 遠(yuǎn)程代碼執(zhí)行漏洞位置:


      WebView.addJavascriptInterface(Object obj, String interfaceName)


2)WebView 遠(yuǎn)程代碼執(zhí)行漏洞觸發(fā)前提條件:


      使用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的Java對(duì)象;


      使用WebView加載外部網(wǎng)頁或者本地網(wǎng)頁;


      Android系統(tǒng)版本低于4.2;


3) WebView 遠(yuǎn)程代碼執(zhí)行漏洞原理:


      Android系統(tǒng)通過WebView.addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的Java對(duì)象,以用于增強(qiáng)JavaScript的功能。但是系統(tǒng)并沒有對(duì)注冊(cè)Java類的方法調(diào)用的限制。導(dǎo)致攻擊者可以利用反射機(jī)制調(diào)用未注冊(cè)的其它任何Java類,最終導(dǎo)致JavaScript能力的無限增強(qiáng)。攻擊者利用該漏洞可以根據(jù)客戶端能力為所欲為。


4. WebView 遠(yuǎn)程代碼執(zhí)行漏洞POC


      1) 利用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的java對(duì)象 “injectedObj”,利用反射機(jī)制調(diào)用Android API sendTextMessage來發(fā)送短信。


      java代碼:


mWebView = new WebView(this);
mWebView.getSettings().setJavaScriptEnabled(true);
mWebView.addJavascriptInterface(this, "injectedObj");
mWebView.loadUrl(file:///android_asset/www/index.html);

本文名稱:關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析-創(chuàng)新互聯(lián)
當(dāng)前地址:http://aaarwkj.com/article12/ihddc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)建站、網(wǎng)站內(nèi)鏈電子商務(wù)、網(wǎng)站排名、品牌網(wǎng)站建設(shè)虛擬主機(jī)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)公司
日韩夫妻精品熟妇人妻一区| 暖暖免费中文高清日本三区| 97视频在线观看免费| 成人黄片在线免费播放| 欧美系列诱惑性国产精品| 日韩精品成人区中文字幕| 日韩有码中文字幕av| 亚洲另类视频一区二区| 麻豆看片高清在线播放| 日韩精品人妻一区二区网站| 中文字幕av不卡一区| 国产av网站精品成人| 日韩人妻高清精品专区| 国产精品盗摄一区二区三区| 国产熟女肥臀精品国产馆乱| 欧美午夜精品一二三区| 国产精品国产三级国产专用| 午夜福利院在线观看免费| 永久永久免费黄色一级片| 免费高清视频一区二区在线观看 | 日韩欧美国产精品一区二区| 亚洲熟女av综合网五月| 亚洲一区二区偷拍精品| 亚洲精品一品区二品区三区| 99国产综合精品女| 成人黄片在线免费播放| 麻豆一精品传二传媒短视频| 国产精品免费观看在线国产| 亚洲精品一二三区免费| 日本国产一区二区三区在线观看 | 日本欧美一区中文字幕| 久久综合中文字幕一区| 91九色午夜在线观看| 俩小伙探花专约老熟女| 92午夜福利精品视频| 午夜影院在线观看网站| 99久久久国产精品蜜臀| 青青草免费视频观看在线| 我的极品小姨在线观看| 国产夫妻性生活国产视频| 日本午夜视频在线观看|