近几天,一条“点击后让对方在聊天中自动发送指定文字”的消息在全网疯传。在 Android 端和 HarmonyOS 4.3 及以下版本的微信中,普通用户通过发送一行特殊的 HTML 链接,即可借用公众号菜单消息(bizmsgmenu)的功能,让好友在点击后自动发出预设文字,如“测试”或“爸爸”。
用户在聊天界面(可引用任意人、群聊内任意消息)中发送如下代码,代码放在评论区了,文章显示不出来。
收到此消息的好友,点击蓝色“点我”链接后,微信会直接把 msgmenucontent 参数中的“测试”文本发送到当前聊天窗口,无需任何二次确认 。
此漏洞利用了微信公众号“自定义菜单”或“客服消息”中 weixin://bizmsgmenu 协议的设计:
1. 正常情况下,公众号可通过该协议在聊天界面弹出对应菜单或直接下发消息。
2. Android 客户端在解析此协议时未做身份校验,将其当作普通链接处理,并触发消息发送流程。
3. 普通用户并非公众号,仍可构造该链接并注入任意内容到对方的输入框中,从而“假冒”公众号进行消息下发 。
Android & HarmonyOS ≤4.3:完全可点击并生效,点击即可自动发送预设文字。
HarmonyOS 5:依然显示为可点击的蓝色文字,但点击后页面会白屏,不再触发发送;相当于“挂起”了协议调用。
iOS、PC、Web 等其他客户端:不识别该 weixin:// 协议,直接将完整代码以纯文本形式展示,不会呈现“点我”链接,也无法生效 。
更多游戏资讯请关注:电玩帮游戏资讯专区
电玩帮图文攻略 www.vgover.com
![****送给9月即将入伍或未来想要入伍的盒油们[cube_摸摸头]](https://imgheybox1.max-c.com/bbs/2025/07/15/dfaca8326aa1c2b7df6bc6775eb2ad7a.jpeg?imageMogr2/auto-orient/ignore-error/1/format/jpg/thumbnail/398x679%3E)
![[单品]酷态科10号ultra,理论上的完美充电头,但需等待](https://imgheybox1.max-c.com/bbs/2025/07/14/a568165eb641a7b49200b785c8bbd6f4.jpeg?imageMogr2/auto-orient/ignore-error/1/format/jpg/thumbnail/398x679%3E)