|
今早( 5 月 26 日)��,微信朋友圈有多位好友向雷鋒網(wǎng)反映:微信出現(xiàn)了XSS漏洞,可以在朋友的手機(jī)上遠(yuǎn)程彈窗! 雷鋒網(wǎng)按照網(wǎng)友的說明��,去微信搜索朋友圈“紅包”����,果然手機(jī)蹦出來一個彈窗“完蛋了”。 
很快�����,各種奇葩的“彈窗游戲”占據(jù)了朋友圈�。 
一位網(wǎng)絡(luò)安全從業(yè)者告訴雷鋒網(wǎng):這是一種類似 XSS(跨站腳本攻擊)的玩法。 它的具體流程是這樣的: 發(fā)送一段代碼到朋友圈�,創(chuàng)建位置,里面有兩個字段�����,一個用于觸發(fā)彈窗的��,一個用來顯示在彈窗里�。 < img src=1 onerror=confirm("這是彈窗顯示的文字!");prompt("這是用來觸發(fā)的文字");> 比如: 
只要有人在微信朋友圈中搜索到這條狀態(tài),就會觸發(fā)該彈窗��,比如搜索這條“Test”就會按照代碼中的文字���,彈出“我就玩玩”: 
至上午 11 點(diǎn) 40 分左右�,有多名網(wǎng)友向雷鋒網(wǎng)反饋該方法已經(jīng)失效,帶有代碼的位置信息無法發(fā)出�����,但是之前已發(fā)出的代碼依然可以被觸發(fā)�����。推測是微信團(tuán)隊(duì)針對該問題進(jìn)行了緊急處理�。 
微信團(tuán)隊(duì)尚未就此問題給出回應(yīng)。
|
