【辟谣】微信最新XSS漏洞?1click?真相原来是这样的!
原文链接: https://mp.weixin.qq.com/s?__biz=MzkxNjQyODY5MA==&mid=2247487268&idx=1&sn=32c18f49eefc14d6b05cb8af3b337109
【辟谣】微信最新XSS漏洞?1click?真相原来是这样的!
原创 Flowers aq flower安全 2025-07-16 12:11
前言:
本来前天就写好文章了,但是微信没给过审..
前天早上发现很多安全群都在传一段代码,说是微信最新漏洞,好奇的我也赶紧看了看:
具体功能是,点击自定义文字的标签就会跳转到发送这串代码用户的私聊界面自动给他发送代码中设定好的信息,例如:
正文:
那我们分析一下这段代码就可以知道:
<a href="weixin://bizmsgmenu?msgmenucontent=test&msgmenuid=960">Test</a>
-
weixin://bizmsgmenu:微信内置协议,用于触发公众号自定义菜单功能。
-
msgmenucontent=test:用户点击公众号菜单后,公众号后台就会收到test这个文本内容。
-
msgmenuid=960:数字是自定义的,意义就是使公众号号主及开发者区分不同的菜单按钮,可以理解为一个标记。
所以,经过分析后大家就可以得知此自定义代码其实就是微信公众号的一个功能,代码还能写成:
<a href="weixin://bizmsgmenu?msgmenucontent=选项A&msgmenuid=101">A</a >
<a href="weixin://bizmsgmenu?msgmenucontent=选项B&msgmenuid=102">B</a >
效果:
服务型的公众号就能通过此自定义功能去实现订单查询,机票查询等等功能!
很多公众号文章都把此功能加上了“
最新漏洞”的字样,实际上此功能也不新,比如下面这个公众号,早在23年就已经发布过相关功能文章:
总结:
所以综上所述,
此功能并非微信最新漏洞,其实准确来说此功能也并非漏洞!功能虽不是漏洞但也具备有一定的
迷惑性,所以大家遇到以下样式的超链接信息一定
多加防范及辨别,最好的办法是
直接复制这条链接,到粘贴板看看它的具体内容。
示例:
