早上家族群里开始群发一个假的微信红包。我不禁有点好奇,微信这么强大的智能识别还是不能解决这个问题?于是起床抓了个包。
分享的地址是
shizhuang.ifeng.com/share/topic/159053-1-0?sz_ch=friend&sz_platform=2&skt=89341487982719
查看之后发现存在 xss 。
跟进去发现跳转到了
http://m.ufoto.com.cn/post/2523312?skt=83851487983287
这个页面槽点就更多了,当初写这个页面的程序员估计坟头草都几丈高了。基本没有标签过滤,就算做了有限的处理也是可以轻松绕过的。
看了一下 JS ,有点像当年挂马玩的那一套,关键字编码后直接在页面加载完成后替换整个全屏。其实微信要屏蔽这个也不是不可能,只要禁止掉内置浏览器中的通过 document.write 或者 js dom 操作注入的 html 代码段的跨域请求就可以了。
唉,难怪微信浏览器要设白名单。
近期评论