高危】WebView高危接口安全检测共2处
详细内容:在Android系统4.3.1~3.0版本,系统webview默认添加了searchBoxJavaBridge_接口,如果未移除该接口可能导致低版本Android系统远程命令执行漏洞
问题代码:privateWebViewa;
privateWebViewa;
修复建议:修复建议:判断系统版本,显式调用removeJavascriptInterface方法移除searchBoxJavaBridge_接口
if (Build.VERSION.SDK_INT >= 11 && Build.VERSION.SDK_INT < 17) { try { webView.removeJavascriptInterface("searchBoxJavaBridge_"); webView.removeJavascriptInterface("accessibility"); webView.removeJavascriptInterface("accessibilityTraversal"); } catch (Throwable tr) { tr.printStackTrace(); } }
