Android WebView挂马漏洞检测工具

https://security.tencent.com/index.php/opensource/detail/1

https://security.tencent.com/index.php/opensource/detail/1

https://security.tencent.com/index.php/opensource/detail/1

实验室 / Android WebView挂马漏洞检测工具

Android WebView挂马漏洞检测工具

作者：harite公布时间：2013-09-05最后更新：2013-12-05

MD5：

24135 7

分享

工具简介：
此工具可用于检测Android WebView挂马漏洞。


检测方法：
使用APP访问此网页( http://security.tencent.com/lucky/check_tools.html)。
若存在此漏洞，工具会给出提示：




漏洞原理：
在安卓WebView 组件中存在 addJavascriptInterface 方法，主要用于将Java类或方法导出以供JavaScript调用。但是，JavaScript在调用导出的Java类时，可通过反射执行任意JAVA代码。典型的攻击场景：通过受影响的app发送恶意构造页面的URL，用户点击打开URL后，会执行恶意代码。比如某安卓应用使用addJavascriptInterface 方法提供以下接口：

this.b.addJavascriptInterface(new fz(this, null), "js_class_name");

那么可构造恶意html页面，然后通过JavaScript调用该接口来执行系统命令：

js_class_name.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);

修复方案：

1、如果无需与JS交互，请删除对addJavascriptInterface函数的调用；

2、在载入页面时对URL进行白名单判定，只有存在白名单中的域才允许导出或调用相关的Java类或方法；

下载该工具

分享到 

•  
•  

版权所有，转载请注明出处!