<a href="想隐藏的内容">1</a>

这样的代码在其他人眼里就会变成

<a href=" ">1</a>

如果我们用复制的方式，就会只留下一个“1”，其他代码全部消失了。

• 浅浅一谈

个人认为这个漏洞应该还是有一定利用价值的，不过会比较恶心人一点，举个例子应用在当前大事件公司裁员当中：

当这样构造了话术，在对方那显示的就是正常的沟通，会确认是经理级别的待遇，同意了这个说法，而另一头显示的却是向公司提出口头离职，由人事部门发送聊天消息记录来确认这个情况，从而实现无成本开除一名员工。

甚至可以用来钓鱼或者传播不法内容能够逃避普通的监管，以下为举例，请勿进行违法犯罪活动。

钓鱼域名是 dyqq.com，真实域名是 qq.com，那我就可以利用这个漏洞来进行钓鱼，构造如下恶意域名

dy<a href="1">qq.com</a>

在对方视角中显示是这样的，并且由于微信自带高亮，这时候就会让被害者认为访问是正确的，登录的是 qq.com，但是当被害者复制这段信息，然后到浏览器试图登录的时候，由于这个漏洞，就会导致用户去访问钓鱼网站 dyqq.com，而不是真正的qq.com，这样就完成了一次攻击。下次护网师傅们可以构造一下话术，试试看哈哈哈。

由于用户对微信的信任，以及高亮代码是真正的 qq.com 从而导致用户无防备心理就进行了访问，并且输入账号密码被黑客截获。

我们还可以这样构造恶意代码

https://dywy.com/此处是随意命名/<a href="1">qq.com</a>/恶意网页UI.html

效果差不多就是这样

表面看起来是qq.com，但是复制之后就会发现，其实qq.com只是一个文件夹命名，会被直接跳转到恶意构造的钓鱼网站当中去，我们只需要在访问路径上增加一个 qq.com 就可以了
– 原理推断

这个利用过程分为三个阶段：

第一阶段：构造好恶意代码发送的时候在发送者视角是能看到完整内容的

第二阶段：在其他收信人视角下，href=” “里的内容全部清除了，变成一个空格

第三阶段：在电脑复制的时候，所有的标签代码及内容全部消失，前后文及标签夹着的内容会拼接在一起，形成完整的字符串

因此推断微信其实是做了两层渲染（仅指此处漏洞）的，第一层渲染掉了href中的内容（此处不知道为什么，怎么会把所有内容替换成空格），紧接着在复制的时候触发第二次渲染，将标签解析了从而导致前后拼接。那么此处就有可能进行操作，例如：钓鱼网站、XSS打cookie、甚至是用html的方式进行RCE（虽然极度困难，菜鸡的我做不到）。

– 碎碎念

还是挺有意思的，虽然被认定无危害，不过感觉还是有深入的空间，有能力的师傅可以接力搞一下，说不定就来大钱呐~

往期推荐