高危】WebView高危接口安全检测共2处
详细内容:在Android系统4.3.1~3.0版本,系统webview默认添加了searchBoxJavaBridge_接口,如果未移除该接口可能导致低版本Android系统远程命令执行漏洞
问题代码:privateWebViewa;
privateWebViewa;
修复建议:修复建议:判断系统版本,显式调用removeJavascriptInterface方法移除searchBoxJavaBridge_接口




if (Build.VERSION.SDK_INT >=  && Build.VERSION.SDK_INT < ) {

try {

webView.removeJavascriptInterface("searchBoxJavaBridge_");

webView.removeJavascriptInterface("accessibility");

webView.removeJavascriptInterface("accessibilityTraversal");

} catch (Throwable tr) {

tr.printStackTrace();

}

}


												


											
WebView高危接口安全检测的更多相关文章
	

    
								
  1. Auty 2017——WebMonitor接口本地检测平台
		
    转载:http://www.cnblogs.com/LanTianYou/p/6272484.html#_label0_0 目录 2016Auty诞生 2017一个新的开始 WebMonitor接口本 ...
    
		
    2. 
						
  2. 安卓WebView中接口隐患与手机挂马利用(远程命令执行)
		
    安卓应用存在安全漏洞,浏览网站打开链接即可中招.目前有白帽子提交漏洞表明目前安卓平台上的应用普遍存在一个安全漏洞,用户打开一个链接就可导致远程安装恶意应用甚至完全控制用户手机,目前微信,手机QQ,QV ...
    
		
    3. 
						
  3. API接口利用ActionFilterAttribute实现接口耗时检测
		
    1.主要代码 using System; using System.Collections.Generic; using System.Diagnostics; using System.Linq;  ...
    
		
    4. 
						
  4. 由于ios由UIWebView换成了WKWebview内核后导致webview请求接口文件上传,后台接收不到文件
		
    2020年4月起App Store将不再接受使用UIWebView的新App上架.2020年12月起将不再接受使用UIWebView的App更新. 解决后台文件接收不到的问题 function GLA ...
    
		
    5. 
						
  5. APP漏洞自动化扫描专业评测报告
		
    一.前言 目前在业界有很多自动化检测APP安全性的在线扫描平台.为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析:主要从漏洞项对比.扫描能力对比以及扫描结果 ...
    
		
    6. 
						
  6. 国内APP漏洞扫描收费情况调查
		
    概述 上一次分享了应用加固的评测后,很多人想看看漏洞扫描相关的对比数据.其实在选择市面上这些移动安全类的产品时,经常为各种复杂的数据而感到疑惑,不知道怎么来评判各自的性能以及价格,从而选择出一款性价比 ...
    
		
    7. 
						
  7. Android APP漏洞挖掘
		
    0x00 1.组件公开安全漏洞 參考Android 组件安全. 2.Content Provider文件文件夹遍历漏洞 參考Content Provider文件文件夹遍历漏洞浅析. 3.Android ...
    
		
    8. 
						
  8. Auty 2017——WebMonitor接口线上检测平台
		
    [本文出自天外归云的博客园] Auty 2017——WebMonitor接口检测平台 前篇 接口本地检测平台 本篇 接上篇,在本地检测平台的基础上,去掉本地服务,改功能为线上使用.好处是项目可以多人访 ...
    
		
    9. 
						
  9. android webview 漏洞背后的节操
		
    by superhei 2013/09/06 [注:本文提到的都是我个人的观点,该行为也是私人行为,与任何组织.公司无关.另:水军请自重!] 一.前言   这两天,一个2+年前的android web ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Java的String&StringBuffer&StringBuilder
			
    一:String类 1.String对象的初始化 由于String对象特别用,所以在对String对象进行初始化时,Java提供了一种简化的特殊语法,格式如下: String s = "ab ...
    
			
    2. 
						
  2. javascript统计输入文本的简易方法
			
    计算文本框的输入字符数的简易方法: ]; var tValue = text.value; num = Math.ceil(getLength(tValue)/); //正则:用于区分中文为两个字节  ...
    
			
    3. 
						
  3. 通过yocto给p1010rdb定制linux,并启动linux
			
    一.通过yocto定制linux 1.安装yocto yocto只能在非root用户下编译,所以先新建一个用户. useradd chen  passwd -d chen 重启电脑进入chen用户.  ...
    
			
    4. 
						
  4. Logging in Java
			
    Common logging: Log4j1仅仅作为一个实际的日志框架,commons-logging作为门面,统一各种日志框架的混乱格局 基本的commons logging Dependency: ...
    
			
    5. 
						
  5. jquery.fn.extend与jquery.extend(转)
			
    jQuery为开发插件提拱了两个方法,分别是: JavaScript代码 jQuery.fn.extend(object); jQuery.extend(object); jQuery.extend( ...
    
			
    6. 
						
  6. centos 6.5  安装 nginx+php+mysql
			
    一.准备工作 (1)配置防火墙 1.首先检查iptables服务的状态 [root@woxplife ~]# service iptables status iptables: Firewall is ...
    
			
    7. 
						
  7. 动态加载JS过程中如何判断JS加载完成
			
    在正常的加载过程中,js文件的加载是同步的,也就是说在js加载的过程中,浏览器会阻塞接下来的内容的解析.这时候,动态加载便显得尤为重要了,由于它是异步加载,因此,它可以在后台自动下载,并不会妨碍其它内 ...
    
			
    8. 
						
  8. 【温故而知新-万花筒】C# 异步编程 逆变  协变 委托 事件  事件参数 迭代 线程、多线程、线程池、后台线程
			
    额基本脱离了2.0 3.5的时代了.在.net 4.0+ 时代.一切都是辣么简单! 参考文档: http://www.cnblogs.com/linzheng/archive/2012/04/11/2 ...
    
			
    9. 
						
  9. Working——流程关系状态表
			
    --主表单 select * from ce_administration_procure t where t.id ='HZe992733d668dc6013d671df4760349'; --流程 ...
    
			
    10. 
						
  10. Yaffs文件系统简介
			
    1 简介 1.1 应用场合 Yaffs(Yet Another Flash File System)文件系统是专门针对NAND闪存设计的嵌入式文件系统,目前有YAFFS和YAFFS2两个版本,两个版本 ...
    
			
    11.