問題描述
android js和原生互相調用會產生安全問題,WebView addJavaScriptInterface 遠程代碼執行漏洞
概述
Android 系統通過WebView.addJavascriptInterface 方法註冊可供JavaScript 調用的Java 對象,以用於增強JavaScript 的功能。但是系統並沒有對註冊Java 類的方法調用的限制。導致攻擊者可以利用反射機制調用未註冊的其它任何Java 類,最終導致JavaScript 能力的無限增強。攻擊者利用該漏洞可以根據客戶端能力爲所欲爲。
修復方法:
android 4.2以上使用@Javascriptinterface註解標記js需要調用的原生方法
android 4.2以下建議不要使用
webView.addJavascriptInterface(... , ...)
- 我們項目的修改方式是
js使用如下代碼:
var loadUrl = function(url) {
var _script= document.createElement("script");
_script.setAttribute("src", url);
_script.setAttribute("style", "display:none;");
_script.setAttribute("height", "0px");
_script.setAttribute("width", "0px");
_script.setAttribute("frameborder", "0");
document.body.appendChild(_script);
_script.parentNode.removeChild(_script);
_script= null;
};
js代碼添加script標籤,導入src,在android原生端我們可以利用
public WebResourceResponse shouldInterceptRequest(WebView view, final String url)
攔截src中加載的內容,src中url的格式爲
android://localhost/.../{...}
android是協議名,localhost是主機名,…使用請求action,最後{..}是參數
android端解析代碼如下:
@Override
public WebResourceResponse shouldInterceptRequest(WebView view, final String url) {
Uri uri = Uri.parse(url);
// 如果 authority = 預先約定協議裏的 localhost,即代表都符合約定的協議
// 所以攔截url,下面JS開始調用Android需要的方法
if (uri.getScheme().equals("android")) {
if (uri.getAuthority().equals("localhost")) {
String path = uri.toString();
//解析action
String action = path.substring(..., path.indexOf("/", ...));
//解析params
String params = path.substring(path.lastIndexOf('/') + 1);
try {
...
//執行相關方法
//參數如果有中文需要轉碼
URLDecoder.decode(params, "UTF-8")
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
}
}
...
return super.shouldInterceptRequest(view, url);
}