文章最后更新日期: 2020年5 月31日
工具简介:
此工具可用于检测Android WebView挂马漏洞。
检测方法:
使用APP访问此网页(http://security.tencent.com/lucky/check_tools.html)。
若存在此漏洞,工具会给出提示:
漏洞原理:
在安卓WebView 组件中存在 addJavascriptInterface 方法,主要用于将Java类或方法导出以供JavaScript调用。但是,JavaScript在调用导出的Java类时,可通过反射执行任意JAVA代码。典型的攻击场景:通过受影响的app发送恶意构造页面的URL,用户点击打开URL后,会执行恶意代码。比如某安卓应用使用addJavascriptInterface 方法提供以下接口:
this.b.addJavascriptInterface(new fz(this, null), "js_class_name");那么可构造恶意html页面,然后通过JavaScript调用该接口来执行系统命令:
js_class_name.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);修复方案:
微信扫一扫,打赏作者吧~