快到碗里来
快到碗里来
  • 发布:2015-01-21 11:44
  • 更新:2015-01-22 11:06
  • 阅读:1503

在360手机助手上审核不过

分类:HTML5+

在4.0至4.2的Android系统上,Webview会增加searchBoxJavaBredge_,导致远程代码执行。攻击者可以向页面植入Javascript,通过反射在客户端中执行任意恶意代码。
相关函数:Lio/dcloud/share/ShareAuthorizeView;- >load
public void load(io.dcloud.share.a p8, String p9)
{
String v0_0 = p8.a(p9);
Class[] v3 = new Class[1];
v3[0] = io.dcloud.share.ShareAuthorizeView;
Object[] v4_1 = new Object[1];
v4_1[0] = this;
String v0_2 = ((io.dcloud.share.AbsWebviewClient) io.dcloud.adapter.util.PlatformUtil.invokeMethod(v0_0, "getWebviewClient", 0, v3, v4_1));
this.b.setWebViewClient(v0_2);
this.b.loadUrl(v0_2.getInitUrl());
return;
}

修复建议: 在Webview中调用removeJavascriptInterface("searchBoxJavaBredge_")

2015-01-21 11:44 负责人:无 分享
已邀请:
DCloud_App_Array

DCloud_App_Array

关于提交360市场提示存在漏洞,HBuilder基座本身已经修复了可能存在的高危风险漏洞,但是还有部分其它第三方SDK(如百度地图、支付宝、个推等)的漏洞需要SDK提供方才能修复(我们已经反馈给SDK厂商,但目前还未发出新版本进行修复)。
对于此问题跟360应用市场的客服确认过,漏洞扫描的结果不会影响应用的上架(HelloH5演示应用一直可以在360市场正常上架),如果在提交的过程中有提示安全漏洞问题而影响上架,可尝试:

  • 如果在应用不用到第三方SDK(如地图、支付、个推、统计等),就把相应的模块删除,重新打包提交360市场;
  • 提示安全问题而未通过审核或将应用下架,可联系360客服咨询确认(Tel:010-58781044)。

该问题目前已经被锁定, 无法添加新回复