duangsuse::Echo
#dev #lua #android #security #coolapk #warn #INFO 刚才经过 Fusion App 交流群的一次答问突然被群人员发现了软件的一个问题, 远程代码执行 本来以为 Androlua+ 会受到影响,但是刚才测试 Androlua+ 是默认不带这个设置的,所以只有 Fusion App 会受到这个问题的影响 (如果你没专门开启 JsInterface 开关,那就是安全的,不会受到这个问题的影响) Fusion App 由于开启了 JsInterface API…
(所以建议寒歌修复之前不要用 FA 套的那些小网站,那些站长大多知道并讨厌 FA)
你可能会受到数据的损失,如果那个应用有外部存储访问写入权限的话
我认为目前最好的解决方案可能是为
(或者在实现的时候不要写明文字符串,使用 JavaScript 代码可以进一步「加密」 JsInterface API 的密码)
你可能会受到数据的损失,如果那个应用有外部存储访问写入权限的话
我认为目前最好的解决方案可能是为
JsInterface 加上密码授权验证并且禁止调用 自省 API (可以将你添加的交互函数变成带有密码的字符串从而破除防护)(或者在实现的时候不要写明文字符串,使用 JavaScript 代码可以进一步「加密」 JsInterface API 的密码)
duangsuse::Echo
#dev #lua #android #security #coolapk #warn #INFO 刚才经过 Fusion App 交流群的一次答问突然被群人员发现了软件的一个问题, 远程代码执行 本来以为 Androlua+ 会受到影响,但是刚才测试 Androlua+ 是默认不带这个设置的,所以只有 Fusion App 会受到这个问题的影响 (如果你没专门开启 JsInterface 开关,那就是安全的,不会受到这个问题的影响) Fusion App 由于开启了 JsInterface API…
目前管理的处置方式是想不要让别人知道这个漏洞,不过由于漏洞只是和被套壳子网站站长有关系(基本不在 Telegram 上),所以在这里我不删除此广播
在 Androlua 圈子里待了几个月我只发现五位大佬,可见这类开发工具的确是极大的降低了开发门槛(笑)
和酷安开始涌入大量小白那段时间一样。
现在的酷安虽然你的好友圈还可以看,很多评论区都难以让人保持冷静了
和酷安开始涌入大量小白那段时间一样。
现在的酷安虽然你的好友圈还可以看,很多评论区都难以让人保持冷静了