这几天,不少微信用户在朋友圈讨论微信出现XSS漏洞,可以远程在朋友手机上弹窗!很多朋友都想知道这个漏洞是什么,小编就为大家详细讲解一下。说话。
微信“远程弹窗”漏洞是什么?
据不少微信好友反映,当他们在微信朋友圈搜索红包时,会出现弹窗。
很快,各种奇奇怪怪的“弹出游戏”就占领了朋友圈。
一位网络安全从业者表示:这是类似于XSS(跨站脚本攻击)的玩法。
其具体流程如下:
发送一段代码到朋友圈,创建一个位置。其中有两个字段,一个用于触发弹窗,一个用于在弹窗中显示。
img src=1 onerror=confirm('这是弹窗显示的文字!'); Prompt('这是用于触发的文本');
例如:
只要有人在微信朋友圈搜索这个状态,就会触发弹窗。比如搜索这个“Test”,就会根据代码中的文字弹出“我来玩”:
截至昨天上午11时40分左右,不少网友反映该方法失败,无法发送带有代码的位置信息,但之前发送的代码仍然可以被触发。 (下载代码编辑器请访问http://www.wmzhe.com/heji/daimabianjiqi/)
推测微信团队已紧急处理此问题,但微信团队尚未对此问题做出回应。
以上是微信“远程弹窗”漏洞的相关信息。如果您还有其他疑问,请随时联系编辑。
