WebView安全 on 办公AI智能小助手

Shopify移动应用URL方案验证绕过漏洞导致JavaScript代码执行

Thu, 16 Oct 2025 05:44:25 +0800

在Shopify移动应用程序中发现一个安全漏洞，该漏洞允许绕过NavigationActivity组件中的URL方案验证。攻击者可以通过构造使用data:或javascript:方案的恶意URL，在应用WebView上下文中执行JavaScript代码。

Thu, 25 Sep 2025 20:11:22 +0800

Shopify移动应用（包名：com.shopify.mobile）的NavigationActivity组件存在URL方案验证绕过漏洞。攻击者可通过构造特殊URL绕过验证机制，在应用WebView中执行任意JavaScript代码。

Wed, 17 Sep 2025 19:17:01 +0800

Vasco Franco
2023年2月23日
漏洞披露

在这个分为两部分的系列文章的第一部分中，我们逃逸了现实世界中配置错误的VSCode扩展中的Webview。但如果扩展配置良好，我们还能逃逸吗？