微信朋友圈有多位好友向雷鋒網(wǎng)反映：微信出現(xiàn)了XSS漏洞，可以在朋友的手機(jī)上遠(yuǎn)程彈窗！
按照網(wǎng)友的說明，去微信搜索朋友圈“紅包”，果然手機(jī)蹦出來一個彈窗“完蛋了”。

很快，各種奇葩的“彈窗游戲”占據(jù)了朋友圈。


一位網(wǎng)絡(luò)安全從業(yè)者告訴黑吧安全網(wǎng)：這是一種類似 XSS（跨站腳本攻擊）的玩法。
它的具體流程是這樣的：
發(fā)送一段代碼到朋友圈，創(chuàng)建位置，里面有兩個字段，一個用于觸發(fā)彈窗的，一個用來顯示在彈窗里。
比如:

只要有人在微信搜索中，搜索到這條朋友圈狀態(tài)，就會觸發(fā)該彈窗，比如搜索這條“Test”就會按照代碼中的文字，彈出“我就玩玩”：

目前已有人在網(wǎng)上公開部分可利用的代碼和方法，但黑吧安全網(wǎng)進(jìn)行一一試驗(yàn)后，發(fā)現(xiàn)不少方法都已失效。可能是微信相關(guān)部門正在修復(fù)該問題，預(yù)計(jì)剩下的利用方法也將很快失效。
但目前微信團(tuán)隊(duì)尚未給出有關(guān)回應(yīng)。