|
今早( 5 月 26 日),微信朋友圈有多位好友向雷鋒網反映:微信出現了XSS漏洞,可以在朋友的手機上遠程彈窗! 雷鋒網按照網友的說明,去微信搜索朋友圈“紅包”,果然手機蹦出來一個彈窗“完蛋了”。 
很快,各種奇葩的“彈窗游戲”占據了朋友圈。 
一位網絡安全從業者告訴雷鋒網:這是一種類似 XSS(跨站腳本攻擊)的玩法。 它的具體流程是這樣的: 發送一段代碼到朋友圈,創建位置,里面有兩個字段,一個用于觸發彈窗的,一個用來顯示在彈窗里。 < img src=1 onerror=confirm("這是彈窗顯示的文字!");prompt("這是用來觸發的文字");> 比如: 
只要有人在微信朋友圈中搜索到這條狀態,就會觸發該彈窗,比如搜索這條“Test”就會按照代碼中的文字,彈出“我就玩玩”: 
至上午 11 點 40 分左右,有多名網友向雷鋒網反饋該方法已經失效,帶有代碼的位置信息無法發出,但是之前已發出的代碼依然可以被觸發。推測是微信團隊針對該問題進行了緊急處理。 
微信團隊尚未就此問題給出回應。
|
