WebView是App中的一个核心组件,是App内部与Web世界交互并呈现给用户的一个窗口,可以看作App内部的一个迷你浏览器。现在很多App 内部呈现 Web 网页的功能,如淘宝、京东、聚划算等电商平台等,都是由 Android 的 WebView 实现的。 但是自诞生伊始,Android WebView就充斥着各种各样的漏洞,从Android诞生早期WebView JavascriptInterface暴露导致的远程任意代码执行,到中期跨域配置不当导致远程信息泄漏甚至应用克隆,再到现在各种白名单域名校验失败导致特权接口被调用。
在不同的时期,WebView总是被披露出很多重大漏洞,这既与系统WebView有关,也与WebView复杂的使用有关,容易被开发者误用。
毫不夸张的说,WebView已成为Android App中最重要的远程攻击面,是最容易出现重大漏洞的薄弱环节。
Android WebView安全攻防指南2020
图源:知乎
本次看雪安全开发者峰会上,我们特别邀请来自OPPO子午互联网安全实验室的安全专家何恩(id: heeeeen)先生来为我们深入浅出地介绍WebView的典型安全漏洞与利用手法。 何恩先生将基于自身在甲方安全工作和参加Google GPSRP漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行介绍和分析。最后为广大开发者提供安全编码方面的指南。
通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型,从根本上理解其利用手法,从而知道对抗和预防漏洞的方法,获得安全编程方面的启示。
演讲嘉宾
何恩(id:heeeeen)
OPPO子午互联网安全实验室安全专家,专注于Android 安全,擅长Android App和框架层的漏洞挖掘,获得过几十个Google Android VRP和GPSRP安全致谢,以及GPSRP的顶级漏洞奖励,在原乌云知识库、先知安全论坛和OSRC公众号发表过多篇有影响力的Android安全文章。 曾任中国电科第三十研究所安全专家,安全领域从业16年,在CNCERT 2016和POC 2018安全峰会上发表过有关Android安全的技术演讲。
想了解Android WebView最新漏洞类型吗?
想知道对抗和预防漏洞的方法吗?
欢迎莅临2020看雪SDC现场,
现场聆听议题完整内容!
看雪SDC简介
2020年10月23日,第四届看雪2020安全开发者峰会(看雪SDC)将由拥有20年悠久历史的老牌安全技术社区——看雪学院主办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。作为开发与安全领域内,最具影响力的互联网安全合作交流盛会之一,SDC始终致力于建立一个多领域、多维度的高端安全交流平台,推动互联网安全行业的快速成长与广泛合作。
自2017年7月份开始举办第一届峰会以来,会议始终秉承着技术与干货的原则,议题内容覆盖物联网、智能设备、区块链、机器学习、WEB安全、逆向、安卓、iOS等前沿领域,吸引了业内众多顶尖的开发者和技术专家。
地点:上海浦东喜来登由由酒店2楼大宴会厅
时间:2020年10月23日 09:00
我们不见不散!
