微信点击漏洞/bug
针对最近出现的微信点击漏洞/BUG,进行了测试和整理。有部分功能在微信的更新报告中显示已在2023年停用,不知道为什么这些bug仍然存在。
本文仅供信息安全防御技术学习参考,禁止用于非法用途。使用本文内容造成的任何后果由使用者自行承担,与作者无关。
微信点击漏洞/BUG合集
目前已知的微信点击漏洞/BUG包括:点击此处自动发消息、打电话、点击直接跳转指定网站和给微信传输助手打电话。
前置条件
- 系统要求:安卓和鸿蒙系统手机(iOS无法触发)
- 触发方式:需通过“引用一条消息”发送(直接发会被看到代码)
漏洞/BUG 列表
1. 点击自动发消息
- 说明:早期存在的功能,后被停用,点击后自动向指定对象发送预设消息
1 | <a href="weixin://bizmsgmenu |
点击后自动发送预设消息
可被用作整蛊工具,其中发到微信群聊里被点击后只会在私信中发送预设消息,不会在群聊中显示
2. 打电话
- 风险提示:
- 会生成一个新的聊天窗口(微信号形式)
- 若删除该窗口,会误删好友,导致后续消息发送失败(红色感叹号)
- 风险解决:
- 删除该聊天窗口好友
- 添加原聊天窗口好友为好友
1 | <a href="weixin://voip/callagain/?username=Cx330usertest">给好友打电话</a> |
点击后自动打电话给设定好的好友
通过改变username参数(微信号,前提是自己已加的好友),可以指定要拨打对象
存在很大风险,打电话的人会多一个被打电话的人的聊天窗口,删掉这个窗口的好友会导致好友真的被删
多的窗口可以正常给被打电话的人发消息,但是被打电话的人发的消息该窗口接收不到
3. 点击直接跳转指定网站
- 效果:点击后跳转至任意预设网址
1 | <a href="https://www.baidu.com">跳转到baidu</a> |
点击后自动跳转至指定网站
可用于钓鱼或推广
4. 给微信传输助手打电话
- 效果:可绕过限制,直接对“文件传输助手”发起语音通话
1 | <a href="weixin://voip/callagain/?username=filehelper">给腾讯客服打电话</a> |
点击后自动打电话给文件传输助手
跟上面的打电话给微信好友有区别,这个属于绕过限制可对文件传输助手进行攻击
注意事项
- 所有语法需通过「引用消息」发送,避免直接暴露代码。
- 可自由修改内容实现个性化测试。
如需进一步复现或测试,请确保:
- 使用安卓设备
- 遵守法律法规,仅限授权环境内操作
相关推荐
评论