微信出現“遠程彈窗漏洞”,已刷爆朋友圈(內附具體玩法)

外送茶
援交
援交
魚訊
外約
今早(5月26日),微信朋友圈有多位好友向雷鋒網反映:微信出現瞭XSS漏洞,可以在朋友的手機上遠程彈窗!雷鋒網按照網友的說明,去微信搜索朋友圈“紅包”,果然手機蹦出來一個彈窗“完蛋瞭”。很快,各種奇葩的“彈窗遊戲”占據瞭朋友圈。
一位網絡安全從業者告訴雷鋒網(公眾號:雷鋒網):這是一種類似 XSS(跨站腳本攻擊)的玩法。它的具體流程是這樣的:發送一段代碼到朋友圈,創建位置,裡面有兩個字段,一個用於觸發彈窗的,一個用來顯示在彈窗裡。

< img src=1 onerror=confirm(“這是彈窗顯示的文字!”);prompt(“這是用來觸發的文字”);>

比如:隻要有人在微信朋友圈中搜索到這條狀態,就會觸發該彈窗,比如搜索這條“Test”就會按照代碼中的文字,彈出“我就玩玩”:至上午11點40分左右,有多名網友向雷鋒網反饋該方法已經失效,帶有代碼的位置信息無法發出,但是之前已發出的代碼依然可以被觸發。推測是微信團隊針對該問題進行瞭緊急處理。微信團隊尚未就此問題給出回應。 雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。

source:https://www.leiphone.com/news/201705/6BHqqQnpUJFfP0OA.html