微信点击聊天消息弹加好友XSS

Posted 2021-04-29 安全帮Live

已经有100万精英关注↑↑↑,您会是下一个吗？安全帮期待您的加入......

0XRoot (安全帮 :www.secbang.com )
今日安全帮成员发现一枚微信xss

 

获取弹窗好友wxid(不是微信帐号)

通过XP框架中的微X模块来获取微信帐号的微信ID(wxid)，手机（已ROOT）需要安装XP框架，再安装微X模块来获取微信ID，获取wxid过程如下:

获取到微信ID后，以我这个微信ID为例子:wxid_xxxxxxxxxxxxxx

插入下面的代码中:

<a href="weixin://contacts/profile/你想要弹出添加某微信帐号为好友的微信ID">自定义文本</a>

插入我的微信ID后:

<a href="weixin://contacts/profile/wxid_xxxxxxxxxxxxxx">点击此处添加白帽子</a>

把这个插入好的代码复制到手机的便签,再以文字形式分享,到微信群聊或者微信好友，当微信用户点

击这个聊天记录就会弹出添加代码里面的wxid微信为好友的提示框！

 

 安全帮内习安全