一、点击设置 -> 账号与安全 -> 登录设备管理(安卓机子就是账号保护) ->
具体图如下:
二、如果直接编辑,设备信息是过滤了的,如下图:
而且长度只能在5-10个字符
三、重要点来了,就是IOS和安卓都有个功能,如下图:
修改手机名称,这里设置好后,退出微信登陆,重新登陆一次微信。再到设置里面XSS代码就成功的保存了。如果没有2台手机,那就还原把。
四、然后用其他手机登陆就会提示:
五、然后验证到登录设备时候自然触发XSS
准确说这叫自嗨,SELF-XSS,哈哈,不太好利用这个漏洞。
原理是微信直接读取并信任手机系统的设备名而未做过滤,从而绕过。是一个储存dom xss,利用比较条件苛刻,首先你的配合木马什么的。
不过还是谨慎尝试,因为有很多人玩这个被封号。
任何不起眼的地方都可能被攻击。虽说只能自嗨,但是思路很值得借鉴。
另外,目前微信已经修补了这个漏洞。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。