0x01 中的这句话大家忽略。。“后来经过测试之后前两个URL Scheme无法加载file域资源”,三个URL Scheme都可以加载file域资源,这句话是刚开始测试的时候热补丁导致我判断错误,后来忘记删了
Author: Dlive@天枢&MMSL Team
===========================================
内容隐藏(考虑到部分厂商还未修复该问题,涉及技术过程展示隐藏,后续会放出来,望理解。 技术分享永不止步!共勉!)
===========================================
0x06 参考
关于Android平台WebView控件存在跨域访问高危漏洞的安全公告
http://www.cnvd.org.cn/webinfo/show/4365?from=timeline&isappinstalled=0“应用克隆”攻击模型
https://mp.weixin.qq.com/s/pQqOLQS_hWfv8btYpYK1xQAndroid安全开发之浅谈网页打开APP
https://yq.aliyun.com/articles/57088Webview跨源攻击分析
http://blogs.360.cn/360mobile/2014/09/22/webview%E8%B7%A8%E6%BA%90%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/Attack Your Android Apps By Webview
http://blog.knownsec.com/2013/03/attack-your-android-apps-by-webview/Andorid Intent 与 Chrome
https://developer.chrome.com/multidevice/android/intents?spm=5176.100239.blogcont57088.9.1c29be50KIPvAG