微信遠端彈窗漏洞是怎麼回事 微信彈窗遊戲bug怎麼修復

當你在微信搜尋朋友圈裡的紅包或敏感詞彙時，會收到一個“完蛋了”的彈窗，無論怎麼點都會有惡趣味的彈窗遊戲，這個類似於XSS的漏洞應該怎麼修復呢？

今早（5月26日），微信朋友圈有多位好友向雷鋒網反映：微信出現了XSS漏洞，可以在朋友的手機上遠端彈窗！

雷鋒網按照網友的說明，去微信搜尋朋友圈“紅包”，果然手機蹦出來一個彈窗“完蛋了”。

很快，各種奇葩的“彈窗遊戲”佔據了朋友圈。

一位網路安全從業者告訴雷鋒網：這是一種類似 XSS（跨站指令碼攻擊）的玩法。

它的具體流程是這樣的：

傳送一段程式碼到朋友圈，建立位置，裡面有兩個欄位，一個用於觸發彈窗的，一個用來顯示在彈窗裡。

< img src=1 onerror=confirm("這是彈窗顯示的文字！");prompt("這是用來觸發的文字");>

比如:

只要有人在微信朋友圈中搜索到這條狀態，就會觸發該彈窗，比如搜尋這條“Test”就會按照程式碼中的文字，彈出“我就玩玩”：

至上午11點40分左右，有多名網友向雷鋒網反饋該方法已經失效，帶有程式碼的位置資訊無法發出，但是之前已發出的程式碼依然可以被觸發。推測是微信團隊針對該問題進行了緊急處理。

微信團隊尚未就此問題給出迴應。