WebView(网络视图)android中加载显示网页的重要组件，可以将其视为一个浏览器。在kitkat（android 4.4）以前使用WebKit渲染引擎加载显示网页，在kitkat之后使用谷歌自家内核chromium。

Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。

1、官网环境要求：n5 n7 n10 android 4.4

2、实验设备:

• N7 android 4.4.4
• N7 android 4.4.3
• N5 nadroid 4.4.2

WooYun: 仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露)
然后有大牛在某电信网厅钓鱼站找到一款android app让我看看，就有了接下来的分析。

Android有一个很少人知道的特性可以通过web页面发送intent来启动apps。以前通过网页启动app是通过设置iframe的src属性，例如：

三星s voice是类似apple siri以及google voice的一款语音助手软件，通过此款软件可以释放双手通过语音命令操作手机。执行如拨打电话、发送短信、拍照等功能。由此可见此软件的权限是非常宽广的。

真机快功能全，模拟器成本低 有条件的话建议真机模拟器混合使用 如果用模拟器的话建议GenyMotion