#PL #javascript 在 JavaScript 里不会检查调用参数列表，operand 数不够或多余都能正常调用方法（这就是 JavaScript 的 varargs 实现？）， function 的参数列表就和使用 arguments 的语法糖一样，真是混乱 🌚👎

Ruby 这样灵活的语言都没有这种奇妙的设计

ruby
[1] pry(main)> def foo(a)
[1] pry(main)*   puts a
[1] pry(main)* end  
=> :foo

[2] pry(main)> foo(1, 2, 3)
ArgumentError: wrong number of arguments (given 3, expected 1)
from (pry):1:in `foo'
[3] pry(main)> foo()
ArgumentError: wrong number of arguments (given 0, expected 1)
from (pry):1:in `foo'

#dev #lua #android #security #coolapk #warn #INFO
刚才经过 Fusion App 交流群的一次答问突然被群人员发现了软件的一个问题， 远程代码执行

本来以为 Androlua+ 会受到影响，但是刚才测试 Androlua+ 是默认不带这个设置的，所以只有 Fusion App 会受到这个问题的影响
（如果你没专门开启 JsInterface 开关，那就是安全的，不会受到这个问题的影响）

Fusion App 由于开启了 JsInterface API 开关并且启用 JavaScript，导致页面上所有 JavaScript 脚本 都可以在 FusionApp 打包的客户端上 任意执行 Lua 代码 并可以访问 Java API

例如：

<script>
if (JsInterface != null)
  JsInterface.doLuaString("os.exit(1)")
</script>

甚至

<script>
if (JsInterface != null)
  JsInterface.doLuaString("os.execute('rm -rf /sdcard')") // 删除 /sdcard 下所有能删除的文件
</script>

注意网站管理人员是可以 任意执行 Lua 代码 的，目前寒歌歌他还没回复。 FusionApp 群内不包括发现这个问题的人都不认为问题特别严重（目前来说）
即使是这样也真心建议所有使用了开启 JsInterface 支持的 LuaWebView 浏览器引擎包转的人赶快想办法解决问题，毕竟如果有人利用会可能导致严重的问题（例，之前 子曰 的 Shell 执行删除了一个人的所有相片）

（所以建议寒歌修复之前不要用 FA 套的那些小网站，那些站长大多知道并讨厌 FA)
你可能会受到数据的损失，如果那个应用有外部存储访问写入权限的话
我认为目前最好的解决方案可能是为 JsInterface 加上密码授权验证并且禁止调用 自省 API (可以将你添加的交互函数变成带有密码的字符串从而破除防护)
（或者在实现的时候不要写明文字符串，使用 JavaScript 代码可以进一步「加密」 JsInterface API 的密码）

PoC

补充一下，没有注册 doLuaString

目前管理的处置方式是想不要让别人知道这个漏洞，不过由于漏洞只是和被套壳子网站站长有关系（基本不在 Telegram 上），所以在这里我不删除此广播