Android WebView File域攻击杂谈

0x00 前言

现在越来越多Android App使用了WebView,针对WebView的攻击也多样化。这里简单介绍下目前的WebView File域攻击一些常用的方法,并重点举例说明下厂商修复后依然存在的一些问题。(影响Android 4.4及以下)

0x01 WebView中的file协议

我们知道,在Android JELLY_BEAN以下版本中,如果WebView没有禁止使用file域,并且WebView打开了对JavaScript的支持,我们就能够使用file域进行攻击。

在File域下,能够执行任意的JavaScript代码,同源策略跨域访问能[……]

MORE