当前位置:网站首页>webview攻击

webview攻击

2022-07-29 01:26:00 tlucky1

1.介绍

webview用来实现应用显示网页内容,可与页面JavaScript进行交互,是由Chrome提供支持的系统组件,android设备已预安装该组件。内核使用了webkit引擎。WebView和web浏览器的差异之处在于WebView运行在嵌入式移动应用的上下文中,而且所有的针对浏览器的攻击都可以用来攻击WebView。

2.metasploit攻击

Webview攻击中,由于系统并没有对注册Java类的方法调用进行限制,导致了CVE-2012-6636漏洞的产生,该漏洞可以将恶意JavaScript语句注入到应用程序中,达到控制设备的目的。该漏洞涉及的Android系统版本低于4.2,高于4.2版本的已完成修复和加固。
可以利用CVE-2012-6636漏洞来实现webview攻击,可以将恶意JavaScript语句注入到应用程序中,达到控制设备的目的。
用kali linux中的metasploit工具来进行攻击,查询该漏洞可以利用的攻击模块,如图所示。

在这里插入图片描述
使用msf创建一个有恶意JavaScript语句的链接,如图所示。
url:http://192.168.1.10:8080/kijiLoe0
在这里插入图片描述
使用社工或网络钓鱼方式诱骗受害者点击该链接,我直接在手机浏览器中访问链接
测试结果:android7.12和android11对该漏洞已进行了修复和加固

3.修复建议

减少WebView攻击的常用建议:
(1)如果不需要,禁用JavaScript和插件支持,如果允许任何JavaScript
(2)禁用任何Javascript接口功能
(3)禁用本地文件访问
(4)通过WebView禁用文件系统访问

原网站

版权声明
本文为[tlucky1]所创,转载请带上原文链接,感谢
https://blog.csdn.net/t102526/article/details/125990339

边栏推荐

猜你喜欢

随机推荐