WebView是App中的一個核心組件,是App內部與Web世界交互並呈現給用戶的一個窗口,可以看作App內部的一個迷你瀏覽器。現在很多App 內部呈現 Web 網頁的功能,如淘寶、京東、聚划算等電商平臺等,都是由 Android 的 WebView 實現的。 但是自誕生伊始,Android WebView就充斥著各種各樣的漏洞,從Android誕生早期WebView JavascriptInterface暴露導致的遠程任意代碼執行,到中期跨域配置不當導致遠程信息洩漏甚至應用克隆,再到現在各種白名單域名校驗失敗導致特權接口被調用。
在不同的時期,WebView總是被披露出很多重大漏洞,這既與系統WebView有關,也與WebView複雜的使用有關,容易被開發者誤用。
毫不誇張的說,WebView已成為Android App中最重要的遠程攻擊面,是最容易出現重大漏洞的薄弱環節。
Android WebView安全攻防指南2020
圖源:知乎
本次看雪安全開發者峰會上,我們特別邀請來自OPPO子午互聯網安全實驗室的安全專家何恩(id: heeeeen)先生來為我們深入淺出地介紹WebView的典型安全漏洞與利用手法。 何恩先生將基於自身在甲方安全工作和參加Google GPSRP漏洞挖掘所積累的豐富案例,對WebView安全配置、白名單校驗、Js2Java接口安全、Intent Scheme校驗等典型漏洞案例進行介紹和分析。最後為廣大開發者提供安全編碼方面的指南。
通過本演講,開發者能瞭解到Android WebView最新的典型漏洞類型,從根本上理解其利用手法,從而知道對抗和預防漏洞的方法,獲得安全編程方面的啟示。
演講嘉賓
何恩(id:heeeeen)
OPPO子午互聯網安全實驗室安全專家,專注於Android 安全,擅長Android App和框架層的漏洞挖掘,獲得過幾十個Google Android VRP和GPSRP安全致謝,以及GPSRP的頂級漏洞獎勵,在原烏雲知識庫、先知安全論壇和OSRC公眾號發表過多篇有影響力的Android安全文章。 曾任中國電科第三十研究所安全專家,安全領域從業16年,在CNCERT 2016和POC 2018安全峰會上發表過有關Android安全的技術演講。
想了解Android WebView最新漏洞類型嗎?
想知道對抗和預防漏洞的方法嗎?
歡迎蒞臨2020看雪SDC現場,
現場聆聽議題完整內容!
看雪SDC簡介
2020年10月23日,第四屆看雪2020安全開發者峰會(看雪SDC)將由擁有20年悠久歷史的老牌安全技術社區——看雪學院主辦,會議面向開發者、安全人員及高端技術從業人員,是國內開發者與安全人才的年度盛事。作為開發與安全領域內,最具影響力的互聯網安全合作交流盛會之一,SDC始終致力於建立一個多領域、多維度的高端安全交流平臺,推動互聯網安全行業的快速成長與廣泛合作。
自2017年7月份開始舉辦第一屆峰會以來,會議始終秉承著技術與乾貨的原則,議題內容覆蓋物聯網、智能設備、區塊鏈、機器學習、WEB安全、逆向、安卓、iOS等前沿領域,吸引了業內眾多頂尖的開發者和技術專家。
地點:上海浦東喜來登由由酒店2樓大宴會廳
時間:2020年10月23日 09:00
我們不見不散!
