微信朋友圈有多位好友向雷锋网反映:微信出现了XSS漏洞,可以在朋友的手机上远程弹窗! 按照网友的说明,去微信搜索朋友圈“红包”,果然手机蹦出来一个弹窗“完蛋了”。 很快,各种奇葩的“弹窗游戏”占据了朋友圈。 一位网络安全从业者告诉黑吧安全网:这是一种类似 XSS(跨站脚本攻击)的玩法。 它的具体流程是这样的: 发送一段代码到朋友圈,创建位置,里面有两个字段,一个用于触发弹窗的,一个用来显示在弹窗里。 比如: 只要有人在微信搜索中,搜索到这条朋友圈状态,就会触发该弹窗,比如搜索这条“Test”就会按照代码中的文字,弹出“我就玩玩”: 目前已有人在网上公开部分可利用的代码和方法,但黑吧安全网进行一一试验后,发现不少方法都已失效。可能是微信相关部门正在修复该问题,预计剩下的利用方法也将很快失效。 但目前微信团队尚未给出有关回应。