#dev #lua #android #security #coolapk #warn #INFO
刚才经过
本来以为
例如:
甚至
注意网站管理人员是可以 任意执行 Lua 代码 的,目前寒歌歌他还没回复。 FusionApp 群内不包括发现这个问题的人都不认为问题特别严重(目前来说)
即使是这样也真心建议所有使用了开启
刚才经过
Fusion App 交流群的一次答问突然被群人员发现了软件的一个问题, 远程代码执行本来以为
Androlua+ 会受到影响,但是刚才测试 Androlua+ 是默认不带这个设置的,所以只有 Fusion App 会受到这个问题的影响(如果你没专门开启 JsInterface 开关,那就是安全的,不会受到这个问题的影响)Fusion App 由于开启了 JsInterface API 开关并且启用 JavaScript,导致页面上所有 JavaScript 脚本 都可以在 FusionApp 打包的客户端上 任意执行 Lua 代码 并可以访问 Java API例如:
<script>
if (JsInterface != null)
JsInterface.doLuaString("os.exit(1)")
</script>
甚至
<script>
if (JsInterface != null)
JsInterface.doLuaString("os.execute('rm -rf /sdcard')") // 删除 /sdcard 下所有能删除的文件
</script>
注意网站管理人员是可以 任意执行 Lua 代码 的,目前寒歌歌他还没回复。 FusionApp 群内不包括发现这个问题的人都不认为问题特别严重(目前来说)
即使是这样也真心建议所有使用了开启
JsInterface 支持的 LuaWebView 浏览器引擎包转的人赶快想办法解决问题,毕竟如果有人利用会可能导致严重的问题(例,之前 子曰 的 Shell 执行删除了一个人的所有相片)Forwarded from duangsuse::Echo
#dev #lua #android #security #coolapk #warn #INFO
刚才经过
本来以为
例如:
甚至
注意网站管理人员是可以 任意执行 Lua 代码 的,目前寒歌歌他还没回复。 FusionApp 群内包括发现这个问题的人都不认为问题特别严重(目前来说)
即使是这样也真心建议所有使用了开启
刚才经过
Fusion App 交流群的一次答问突然被群人员发现了软件的一个问题, 远程代码执行本来以为
Androlua+ 会受到影响,但是刚才测试 Androlua+ 是默认不带这个设置的,所以只有 Fusion App 会受到这个问题的影响(如果你没专门开启 JsInterface 开关,那就是安全的,不会受到这个问题的影响)Fusion App 由于开启了 JsInterface API 开关并且启用 JavaScript,导致页面上所有 JavaScript 脚本 都可以在 FusionApp 打包的客户端上 任意执行 Lua 代码 并可以访问 Java API例如:
<script>
if (JsInterface != null)
JsInterface.doLuaString("os.exit(1)")
</script>
甚至
<script>
if (JsInterface != null)
JsInterface.doLuaString("os.execute('rm -rf /sdcard')") // 删除 /sdcard 下所有能删除的文件
</script>
注意网站管理人员是可以 任意执行 Lua 代码 的,目前寒歌歌他还没回复。 FusionApp 群内包括发现这个问题的人都不认为问题特别严重(目前来说)
即使是这样也真心建议所有使用了开启
JsInterface 支持的 LuaWebView 浏览器引擎包转的人赶快想办法解决问题,毕竟如果有人利用会可能导致严重的问题(例,之前 子曰 的 Shell 执行删除了一个人的所有相片)