今早( 5 月 26 日),微信伴侶圈有多位好友向雷鋒網(wǎng)反映:微信出現(xiàn)了XSS漏洞����,可以在伴侶的手機(jī)上遠(yuǎn)程彈窗!
雷鋒網(wǎng)根據(jù)網(wǎng)友的說(shuō)明����,去微信搜索伴侶圈“紅包”��,果然手機(jī)蹦出來(lái)一個(gè)彈窗“完蛋了”�。
很快���,各種奇葩的“彈窗游戲”占據(jù)了伴侶圈����。
一位網(wǎng)絡(luò)安適從業(yè)者告訴雷鋒網(wǎng):這是一種類(lèi)似 XSS(跨站腳本攻擊)的玩法�����。
它的具體流程是這樣的:
發(fā)送一段代碼到伴侶圈��,創(chuàng)建位置���,里面有兩個(gè)字段�����,一個(gè)用于觸發(fā)彈窗的����,一個(gè)用來(lái)顯示在彈窗里。
< img src=http://www.chinaz.com/news/2017/0526/1 onerror=confirm("這是彈窗顯示的文字!");prompt("這是用來(lái)觸發(fā)的文字");>
好比:
只要有人在微信伴侶圈中搜索到這條狀態(tài)���,就會(huì)觸發(fā)該彈窗���,好比搜索這條“Test”就會(huì)根據(jù)代碼中的文字,彈出“我就玩玩”:
至上午 11 點(diǎn) 40 分?jǐn)[布����,有多名網(wǎng)友向雷鋒網(wǎng)反饋該方法已經(jīng)失效,�,帶有代碼的位置信息無(wú)法發(fā)出,但是之前已發(fā)出的代碼依然可以被觸發(fā)�����。推測(cè)是微信團(tuán)隊(duì)針對(duì)該問(wèn)題進(jìn)行了緊急處理����。
微信團(tuán)隊(duì)尚未就此問(wèn)題給出回應(yīng)。
