android webview 劫持,安卓包风险安全监测提示存在Activity劫持、WebView远程代码执行,请问怎么解决?...
挺着急的,请问这个怎么解决
1、Activity劫持
用例名称:Activity劫持
风险系数:高
风险编号:NESUN-2016-82091, CWE-94,
风险描述:攻击者劫持目标Activity并制造跟目标Activity界面相似度很高的界面迷惑用户,可能导致钓鱼攻击,造成用户名/密码等敏感信息泄露。
检测过程:
1、对被测APP进行测试预处理。
2、在测试助手上安装、运行被测APP。
3、动态追踪目标APP的Activity状态,实时构建Activity转换图。
4、遍历Activity转换图进行插桩劫持,追踪分析客户端被劫持后的响应,发现被测系统能够被成功劫持。
Activity 劫持成功!被劫持的Activity为:io.dcloud.PandoraEntryActivity
修复建议:
目前还没有什么专门针对Activity劫持的防护方法,因为这种攻击是用户层面上的,目前还无法从代码层面上根除。
但是我们可以适当的在APP中给用户一些警示信息,提示登录或关键界面已被覆盖,具体解决方案如下:
在APP的Activity界面(也就是MainActivity)中重写onKeyDown方法和onPause方法,当其被覆盖时,就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的(触摸返回键或HOME键),如果是用户自己触发的则无需弹出警示,否则弹出警示信息。
2、WebView远程代码执行
用例名称:WebView远程代码执行
风险系数:高
风险编号:NESUN-2016-82035, CVE-2012-6636, CNNVD-201403-027, CWE-264, OWASP Mobile Top 10 2016 M7
风险描述:Android系统通过WebView.addJavascriptInterface方法注册可供JavaScript调用的Java对象,以用于增强JavaScript的功能。但是系统并没有对注册Java类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何Java类,最终导致JavaScript能力的无限增强。攻击者利用该漏洞可以根据客户端能力实现远程任意代码执行攻击。 WebView 远程代码执行漏洞触发前提条件: 1)使用addJavascriptInterface方法注册可供JavaScript调用的Java对象; 2)使用WebView加载外部网页或者本地网页; 3)Android系统版本低于4.2。
检测过程:
1、基于深度静态检测技术DSAST进行破壳/逆向分析等获取客户端程序Java源文件。
2、对构成源程序的字符流进行扫描,通过词法分析,生成相关符号列表。
3、进行语法分析,整理成语法树,通过抽象语法树分析,将程序组织成树形结构,构造Java类和函数库。
4、进行语义分析,生成函数调用关系图,依据漏洞特征,遍历Java类和函数库,发现存在WebView远程代码执行的可能,具体表现为使用addJavascriptInterface接口。
相关文件名/行:
classes.dex
相关程序代码段如下:
在 com.tencent.bugly.yaq.crashreport.CrashReport$1 内部类的 public final addJavascriptInterface(Lcom/tencent/bugly/yaq/crashreport/crash/h5/H5JavaScriptInterface;Ljava/lang/String;)V 方法,使用了函数 Landroid/webkit/WebView;->addJavascriptInterface(Ljava/lang/Object;Ljava/lang/String;)V
修复建议:
1、在客户端启动时检测Android版本,如果是Android4.2及以下版本则提示用户或者退出。
2、使用addJavascriptInterface接口时,
用以下方式增强安全性:
1) 使用HTTPS协议加载URL,应进行证书校验防止访问的页面被篡改挂马;
2) 使用HTTP协议加载URL,应进行白名单过滤、完整性校验等防止访问的页面被篡改;
3) 加载本地Html,应将html文件内置在APK中,以及进行对html页面完整性的校验 。
3、不需使用时可通过以下方式移除Javascript接口:
removeJavascriptInterface(""searchBoxJavaBridge_"");
removeJavascriptInterface(""accessibility"");
removeJavascriptInterface(""accessibilityTraversal"")。
android webview 劫持,安卓包风险安全监测提示存在Activity劫持、WebView远程代码执行,请问怎么解决?...相关推荐
- 查看exe代码_【安全风险通告】Windows Type 1字体解析远程代码执行漏洞安全风险通告...
微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交,公告中指出这两枚漏洞已遭在野利用. 鉴于漏洞危 ...
- Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)安全风险通告
奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 安全通告 Splunk Enterprise是机器数据的引擎.使用Splunk可收集.索引和利用所有应用程序.服务器和设备生 ...
- 【安全风险通告】Spring Framework远程代码执行漏洞(CVE-2022-22965)安全风险通告第二次更新...
奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 安全通告 近日,奇安信CERT监测到Spring Framework存在远程代码执行漏洞(CVE-2022-22965),在 ...
- fastjson反序列化漏洞_【安全风险通告】fastjson反序列化远程代码执行漏洞安全风险通告...
近日,奇安信CERT监测到fastjson官方发布新版本,修补了一个反序列化远程代码执行漏洞.远程攻击者可利用该漏洞绕过autoType限制,进而可在目标服务器上执行任意命令.鉴于该漏洞影响较大,建议 ...
- 流行的 NPM 包依赖关系中存在远程代码执行缺陷
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- Oracle CoherenceWebLogic反序列化远程代码执行漏洞安全风险通告
近日,奇安信CERT监测到包含在1月份Oracle关键补丁程序更新CPU(Critical Patch Update)的漏洞,Oracle Coherence反序列化远程代码执行漏洞(CVE-2020 ...
- Linux包管理器apt/apt-get发现远程代码执行漏洞
研究人员Max Justicz日前发现了知名Linux包管理器apt/apt-get中的远程代码执行漏洞,该漏洞允许外部进行中间人攻击并获取root权限以执行任何代码.该漏洞已在最新版本apt修复,如 ...
- Dubbo 高危反序列化漏洞,存在远程代码执行风险,建议及时升级到2.7.7或更高版本!...
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 以下内容转载自安全客,原文链接:https://www. ...
- 【安全风险通告】Apache ShardingSphere远程代码执行漏洞安全风险通告
近日,奇安信云影实验室安全研究员maoge发现Apache ShardingSphere存在远程代码执行漏洞,目前官方已为该漏洞分配CVE编号:CVE-2020-1947.截至今日,该漏洞已修复.鉴于 ...
最新文章
- 数据分析利器--Pandas
- node开启子线程_多进程 amp; Node.js web 实现
- Java异常处理(2)--异常处理机制及自定义异常
- oracle中如何创建dblink
- css3动画 --- Animation
- 手把手教你搭建数据库服务器平台 | DBA VS 自动化运维,究竟谁与争锋?
- Android文字图像识别并翻译的简单实现
- Java实现本地缓存
- word每行的末尾箭头怎么去掉_如何将word中箭头去掉 word中的箭头怎么去掉
- word分节符设置与不同页眉页脚页码设置
- ISBN(国际标准书号)
- Disable Win+R from launching Wox
- 大数据_湖仓一体:下一代存储解决方案
- ServiceComb 课程
- office中计算机剪贴画,Office 2010的剪贴画
- html语言下上标对齐,html常用标签基础
- yum安装报错:“Could not resolve host: mirrors.aliyun.com; Unknown error“--:-- ETA Trying
- 商朝·商高·勾三股四玄五·勾股定理
- MATLAB:海洋捕食者算法(MPA)优化BP神经网络权值和阈值用于月径流预测
- 马云最新透露:教你没钱如何创业,抓住这个商机你将成为最大赢家
热门文章
- 项目经理到底要不要懂技术?
- win10安装TortoiseGit
- 计算机在材料科学中的应用上机二,计算机在材料科学中的应用-上机实验二.doc...
- Django web开发笔记
- Java LocalDate类| minus()方法与示例
- ios html图片相对路径,iOS 下加载本地HTML/js/css/image 等路径问题
- pythonencode和decode_Python3的decode()与encode()
- as真机调试_如何使用真机调试android程序
- 硬件nat关闭还是开启_超能课堂(173):AfterBurner不止超频,还是绝佳的游戏伴侣...
- 更快的Maven来了,我的天,速度提升了8倍!