展開
湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司
  • 首頁(yè)HOME
  • 公司簡(jiǎn)介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運(yùn)行維護(hù)SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT
  • IndustryEvents |業(yè)界動(dòng)態(tài)

    微信出現(xiàn)“遠(yuǎn)程彈窗漏洞”,已被緊急處理
    來(lái)源:荊州網(wǎng)站建設(shè) 時(shí)間:2017-05-26

    今早(5月26日),微信朋友圈有多位好友向湖北國(guó)聯(lián)反映:微信出現(xiàn)了XSS漏洞,可以在朋友的手機(jī)上遠(yuǎn)程彈窗!

    我們按照網(wǎng)友的說(shuō)明,去微信搜索朋友圈“紅包”,果然手機(jī)蹦出來(lái)一個(gè)彈窗“完蛋了”。

    微信出現(xiàn)“遠(yuǎn)程彈窗漏洞”,已被緊急處理

    很快,各種奇葩的“彈窗游戲”占據(jù)了朋友圈。

    湖北國(guó)菱網(wǎng)絡(luò)安全工程師分析:這是一種類似XSS(跨站腳本攻擊)的玩法。

    它的具體流程是這樣的:

    發(fā)送一段代碼到朋友圈,創(chuàng)建位置,里面有兩個(gè)字段,一個(gè)用于觸發(fā)彈窗的,一個(gè)用來(lái)顯示在彈窗里。

    < img src=1 confirm("這是彈窗顯示的文字!");prompt("這是用來(lái)觸發(fā)的文字");>

    比如:

    只要有人在微信朋友圈中搜索到這條狀態(tài),就會(huì)觸發(fā)該彈窗,比如搜索這條“Test”就會(huì)按照代碼中的文字,彈出“我就玩玩”:

    至上午11點(diǎn)40分左右,有多名網(wǎng)友向湖北國(guó)聯(lián)網(wǎng)絡(luò)安全部反饋該方法已經(jīng)失效,帶有代碼的位置信息無(wú)法發(fā)出,但是之前已發(fā)出的代碼依然可以被觸發(fā)。推測(cè)是微信團(tuán)隊(duì)針對(duì)該問(wèn)題進(jìn)行了緊急處理。

    微信團(tuán)隊(duì)尚未就此問(wèn)題給出回應(yīng)。

    荊州地區(qū)政府網(wǎng)站建設(shè) 解決方案 專業(yè)團(tuán)隊(duì) 騰訊第三方平臺(tái) 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話:0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號(hào) 備案號(hào):鄂ICP備2021015094號(hào)-1     企業(yè)名稱:湖北國(guó)菱計(jì)算機(jī)科技有限公司