微信出现你完蛋了弹窗是怎么回事 微信XSS漏洞原理及玩法

9158APP 0

微信弹出“已完成”界面是怎么回事?据说这是有人利用XSS漏洞开的一个恶作剧。目前微信团队已修复该问题,请放心使用。

201705261545073884153.png

微信xss漏洞介绍

微信出现XSS漏洞,允许好友手机远程弹窗!

我去微信朋友圈搜索“红包”,果然,手机上弹出了一个弹窗,上面写着“结束了”。

很快,各种奇奇怪怪的“弹出游戏”就占领了朋友圈。

这是一种类似于XSS(跨站脚本攻击)的玩法。

其具体流程如下:

发送一段代码到朋友圈,创建一个位置。其中有两个字段,一个用于触发弹窗,一个用于在弹窗中显示。

img src=1 recognize('这是弹窗显示的文字!'); Prompt('这是用于触发的文本');

例如:

14957832734348737.png

只要有人在微信朋友圈搜索这个状态,就会触发弹窗。比如搜索这个“Test”,就会根据代码中的文字弹出“我来玩”:

14957832737887022.png

带代码的位置信息无法发送,但之前发送过的代码仍然可以被触发。推测微信团队正在紧急处理这个问题。