微信的xss二开

2025-07-14 08:51:38

这两天各大公众号都在发这种：

就是这段代码：

这其实是很早的一个bug，但是这两天又被人扒出来了，从代码上看，这应该是一个超链接的标签，我们单独把这段代码复制发送是没有效果的，但是我们随便引用一句话就可以显示出超链接的图标，有的人把“可以的”换成一个emoji，把参数值改为“爸爸”，让人点击就出现无意间叫“爸爸”的场景。

之后迎来了2.0版本，就是"给马化腾打电话"：

类似于这样的代码，username里面的值换成马化腾的微信号就能打过去了，但是你没有马老总的电话，所以你是打不过去的。但是如果你给好友发这个，他们点击就会直接给=后面的微信号的人打电话。

后来我试着把链接的复制到浏览器的输入框中，发现他会跳转链接，点击打开链接我的微信就开了。所以我可以认为，在我们打微信电话或者是发信息时，微信都会调用相应的接口去执行标签里面的命令，而且微信的源码可能也就是h5的写的，所以应该尽早修复，如果有黑客进行3开，那就有可能盗取数据库里面的东西了，从而造成数据泄露。