支付宝开放平台竟出现一张神秘人脸!
前言
我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸
添加书签的页面,本该出现log的地方缺出现了一张神秘的人脸,不禁让人浮想联翩~~
这位仁兄是在什么时候,什么情况下被拍到了这一场景,又是因为什么,替代了原本的log?一瞬间,我的大脑出现无数种可能
- 我想到了这位仁兄是支付宝的一位项目组长,因为平时比较严厉,导致组员怨气横生,然后在一个夜深人静的夜晚,某个地方的log被替换了…
- 还可能有个技术高超的老哥,他是个黑客。他把收藏书签的log换成这个,来证明自己的能力,因而加入某个秘密的黑客集团……
- ……
但咱程序员,最重要的就是严谨,因此我开始尝试理解为什么会出现这种情况
复现
- 我们首先在一切环境不变的情况下,进行复现
- 若复现成功,则换个浏览器->换个电脑 这样进行测试
网址
https://open.alipay.com/portal/forum
- 可以发现,复现是没有问题的,博主本来想用Eg浏览器复现一次,但Eg浏览器没有书签log
- 于是博主下载火狐浏览器,发现火狐浏览器也没有书签图片功能
- 那就直接电脑吧,观察不同电脑的谷歌浏览器是不是都会出现人脸,来判断是否要继续不同浏览器
博主将自己发现告诉某群里的小伙伴,果然,小伙伴们也出现了这个情况
- 显然,复现是没有问题的,那这到底是怎么一回事呢?一时间我也没有什么头绪,于是来到掘金,想要看看有没人发现过这个问题
- 我顺手对掘金主页也点了一下。发现居然也没出现log,感觉真相已经逐渐浮出水面了
解密
- 点开这位大哥一看,哦原来是一位用户呀,这个明媚的笑脸是大哥的头像
- 那问题来了,为什么这位大哥的头像会出现在这里?
我们随便点开别的文章
-
好家伙,也是如此,似乎这个图案是页面的一个图片
-
但上面头像在那么下面,为什么选择了这张头像?有什么规律吗?
于是,我们先获得图片的路径,并在本地删除
-
那这张图片本身,会有什么不一样吗?
https://tfs.alipayobjects.com/images/partner/T16XpbXkNbXXXXXXXX //大哥图片 榜二
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*OqYBSLVeNFgAAAAAAAAAAAAADvx4AA/original?t=e4n_C310tvhOVbc75R-8cBGbC8Dn59M1v_rjs3-465EDAAAAZAAAePwAAAAA" // 榜一
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*3-qLTLctY2YAAAAAAAAAAAAADvx4AA/original?t=kU4DXE3Ulac0BqNjbS_FM1CgdPPRv-t_AXE9O4ERrVUDAAAAZAAAePwAAAAA" //榜三
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*yoBBSrgEnaQAAAAAAAAAAAAADvx4AA/original?t=KS9ocyIOUiNyscJtZRfpGJNvRtpbFeTzD5BHJMpWen0DAAAAZAAAePwAAAAA" //榜四
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*hVXnT7XTKVMAAAAAAAAAAAAADvx4AA/original?t=7zTMnTdfUEnB1STKq0U_l82GwFkrk-QoezPmznjQwEwDAAAAZAAAePwAAAAA" //榜五
-
欸,不知道你发现了没了,大哥图片怎么这么特殊,没有在 https://gw.alipayobjects.com/v/ 下面
-
到目前为止,我们可以得出一个不那么经得起考验的结论:因为图片存储路径存储地方比较特殊,没有存储在v中
-
这无疑是一个大的突破,我们随便找几篇文章来看看
- 这篇文章有两个图片,一个正方形 一个长方形
但都没有让书签封面出现图片
我们开始验证这人头像存储在哪里
多次验证
-
这一下 就把之前的结论推翻了。。
-
博主去掘金看了看,发现在页面上没有找到掘金出现的那张图片
- 翻了下请求,发现也没有这张图片。。那接下来就是得了解这些网站是用什么开发,然后了解他们书签是图片是怎么来的了。这是我的破解思路。是浏览器还是网站的问题?
- 以下是搜索结果
- 无论怎样小图标是正常的显示的,因此,这个问题好像是一个没人注意过的问题,或许这是什么新的可以攻击的地方
- 但博主没啥时间,不继续深究了,于是记录下来,将此发到网络上,希望能有大佬
你好,我是Qiuner. 为帮助别人少走弯路和记录自己编程学习过程而写博客
这是我的 github https://github.com/Qiuner ⭐️
gitee https://gitee.com/Qiuner 🌹
如果本篇文章帮到了你 不妨点个赞吧~ 我会很高兴的 😄 (^ ~ ^)
想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎
更多专栏订阅:
📊 一图读懂系列
📝 一文读懂系列
⚽ Uniapp
🌟 持续更新
🤩 Vue项目实战
🚀 JavaWeb
🎨 设计模式
📡 计算机网络
🎯 人生经验
🔍 软件测试
掘金账号
感谢订阅专栏 三连文章
相关文章:
支付宝开放平台竟出现一张神秘人脸!
前言 我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸 一张笑容明媚的脸,就是出现的时候不太对 正常的收藏网址 应该是显示对应log 就不继续找相关例子了 添加书签的页面,本该出现log的地方缺出现了…...
每日学术速递8.8
1.Rethinking temporal self-similarity for repetitive action counting 标题:重新思考重复动作计数的时间自相似性 作者: Yanan Luo, Jinhui Yi, Yazan Abu Farha, Moritz Wolter, Juergen Gall 文章链接:https://arxiv.org/abs/2407.09…...
【JVM基础12】——垃圾回收-说一下JVM有哪些垃圾回收器?
目录 1- 引言:垃圾回收器2- ⭐核心:垃圾回收器详解2-1 串行垃圾回收器2-2 并行垃圾回收器2-3 CMS(并发垃圾回收)——主要作用在老年代 3- 小结3-1 说一下JVM有哪些垃圾回收器? 1- 引言:垃圾回收器 在 JVM …...
进阶学习------linux运维读写执行权限
进阶学习------linux运维读写执行权限 在UNIX和类UNIX操作系统中,文件权限是通过一组特定的数字来表示的,这些数字分为三组,分别对应于用户(文件所有者)、组和其他用户的权限。每组权限由三个二进制位表示,…...
视频循环存储的实现
目录 1. 三方工具 2. 视频存储的实现 2.1 分段存储 - 比如每15分钟 2.2 对齐到15分钟整边界 2.3 循环存储的实现 video_space_daemon.sh 3.封装 3.1 主执行程序,修订版 3.2 创建服务 3.3 service关联的执行脚本文件 4.额外的工作 附录A: ffmpeg视频存储…...
在centOS系统中使用docker部署Jenkins
1. 安装docker 1.1 下载Docker依赖组件 yum -y install yum-utils device-mapper-persistent-data lvm2 1.2 设置下载Docker的镜像源为阿里云 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 1.3 安装Docker服务 yum …...
Qt 将生成的exe文件自动复制到其它目录下
QT pro中加入文件拷贝方法_qt pro复制粘贴-CSDN博客 目标: 例如:在release模式下,exe文件生成于: "G:\test\build\release\shakeSensor.exe" 此时,我希望在生成该exe文件时, "G:\test\…...
openwrt下,用iptable转发端口访问远程的SMB服务
首先初步学习一下iptales的命令 iptales指令的详细教程:https://blog.csdn.net/weixin_44390164/article/details/120500075 实践一、转发地址与端口 外网远程服务上开放了SMB服务,端口号自定义的为44513,WINDOWS不能直接访问,…...
JVM类加载中的双亲委派机制
【1】什么是双亲委派 Java虚拟机对class文件采用的是按需加载的方式,也就是说当需要使用该类时才会将它的class文件加载到内存生成class对象。而且加载某个类的class文件时,Java虚拟机采用的是双亲委派模式,即把请求交由父类处理,…...
【OpenCV C++20 学习笔记】范围阈值操作
范围阈值操作 原理HSV颜色空间RGB与HSV颜色空间之间的转换 代码实现颜色空间的转换范围阈值操作 原理 HSV颜色空间 HSV(色相hue, 饱和度sarturation, 色明度value)颜色空间与RGB颜色空间相似。hue色相通道代表颜色类型;saturation饱和度通道代表颜色的饱和度&…...
【Material-UI】Checkbox组件:Indeterminate状态详解
文章目录 一、什么是Indeterminate状态?二、Indeterminate状态的实现1. 基本用法示例2. 代码解析3. Indeterminate状态的应用场景 三、Indeterminate状态的UI与可访问性1. 无障碍设计2. 用户体验优化 四、Indeterminate状态的最佳实践1. 状态同步2. 优化性能3. 提供…...
一文了解K8S(Kubernates)
一、K8S 1. 概述 Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 Kubernetes 拥有一个庞大且快速增长的生态,其服务、支持和工具的使用范围相当广泛。 Kubernetes 这个名字源于希腊…...
三星、小米和 OPPO设备实验室将采用Android设备流技术
早在 5 月份的年度开发者大会上,Google就发布了 Android 设备流测试版。开发人员可以在Google数据中心的真实物理设备上更轻松、更互动地测试自己的应用程序,这些设备会直接串流到 Android Studio。今天,Google宣布与三星、小米和 OPPO 合作扩…...
华为OD-D卷万能字符单词拼写
有一个字符串数组words和一个字符串chars。 假如可以用chars中的字母拼写出words中的某个“单词”(字符串),那么我们就认为你掌握了这个单词。 words的字符仅由 a-z 英文小写字母组成。 例如: abc chars 由 a-z 英文小写字母和 “?”组成。其…...
顶象文字点选模型识别
注意,本文只提供学习的思路,严禁违反法律以及破坏信息系统等行为,本文只提供思路 如有侵犯,请联系作者下架 文字点选如何训练,之前的文章说了很多遍了,这里只放现成的模型供查看,有需要成品联系…...
C#如何将自己封装的nuget包引入到项目中
问题 自己封装好了一个nuget包,但是不想上传到外网,想局域网使用,有两种方案 搭建私有nuget仓库放到离线文件夹中直接使用 第一种方式请请参考proget安装 下面主要是第二种方式 准备 新建类库项目 using System;namespace ClassLibrary…...
2024.8.8(栈,队列))
数据结构(学习)2024.8.8(栈,队列)
今天学习的是线性表里面的栈和队列 链表的相关知识可以查看http://t.csdnimg.cn/NX464 顺序表的相关知识可以查看http://t.csdnimg.cn/5IMAZ 目录 栈 栈的定义 栈的特点 顺序栈 结构体 顺序栈的相关操作案例 链式栈 结构体 链式栈的相关操作案例 总结 队列 队列…...
)
服务端开发常用知识(持续更新中)
Java方面 1 基础篇 1.1 网络基础 tcp三次握手和四次挥手-CSDN博客 tcp和udp区别,tcp拥塞控制算法和粘包问题-CSDN博客 http的发展历史,各版本的差异点,以及和https的区别-CSDN博客 2 jvm篇 3 多线程篇 4 mysql篇 5 redis篇 6 kafk…...
MySQL入门学习-运维与架构.复制过滤器
MySQL 复制过滤器是一种用于过滤复制数据的机制。它可以根据特定的规则,选择要复制的数据库、表或列,从而减少复制的数据量,提高复制性能。 一、以下是一些常见的 MySQL 复制过滤器: 1. 基于二进制日志的过滤器: 通过…...
【深度学习】生成领域里,Normalizing Flow、GAN、VAE、Diffusion Models的区别是什么?
文章目录 1. Normalizing Flow2. GAN (Generative Adversarial Networks)3. VAE (Variational Autoencoders)4. Diffusion Models总结1. Normalizing Flow公式代码示例2. GAN (Generative Adversarial Networks)公式代码示例3. VAE (Variational Autoencoders)公式代码示例4. D…...
深入TC3xx安全机制:从WDT密码访问到Endinit保护,如何构建防误写屏障?
TC3xx芯片安全架构深度解析:Endinit机制与汽车电子功能安全实践 在汽车电子系统设计中,功能安全从来不是可选项而是必选项。随着ADAS和自动驾驶技术的快速发展,ECU的复杂性和安全性要求呈指数级增长。TC3xx系列芯片作为汽车电子领域的核心处…...
ml.js数据预处理完全教程:从数组操作到特征工程
ml.js数据预处理完全教程:从数组操作到特征工程 【免费下载链接】ml Machine learning tools in JavaScript 项目地址: https://gitcode.com/gh_mirrors/ml/ml 在机器学习项目中,数据预处理是决定模型性能的关键步骤。ml.js作为一个强大的JavaScr…...
文件搜索效率低下?FSearch让Linux文件定位速度提升10倍的技术实现与应用指南
文件搜索效率低下?FSearch让Linux文件定位速度提升10倍的技术实现与应用指南 【免费下载链接】fsearch A fast file search utility for Unix-like systems based on GTK3 项目地址: https://gitcode.com/gh_mirrors/fs/fsearch 在Linux系统管理中࿰…...
2025届学术党必备的AI辅助写作工具推荐
Ai论文网站排名(开题报告、文献综述、降aigc率、降重综合对比) TOP1. 千笔AI TOP2. aipasspaper TOP3. 清北论文 TOP4. 豆包 TOP5. kimi TOP6. deepseek 维普AIGC检测系统专门针对学术文本里人工智能生成的内容来开展识别 , 用户在提交…...
DecompilerMC:揭秘Minecraft源码反编译的高效方案
DecompilerMC:揭秘Minecraft源码反编译的高效方案 【免费下载链接】DecompilerMC This repository allows you to decompile any minecraft version that was published after 19w36a without any 3rd party mappings, you just need to execute the script or the …...
如何将Smart AM60电视盒子变身高性能Armbian服务器:完整实战指南
如何将Smart AM60电视盒子变身高性能Armbian服务器:完整实战指南 【免费下载链接】amlogic-s9xxx-armbian Supports running Armbian on Amlogic, Allwinner, and Rockchip devices. Support a311d, s922x, s905x3, s905x2, s912, s905d, s905x, s905w, s905, s905l…...
open-source-jobs未来发展规划:开源工作平台的愿景与路线图
open-source-jobs未来发展规划:开源工作平台的愿景与路线图 【免费下载链接】open-source-jobs A list of Open Source projects offering jobs. 项目地址: https://gitcode.com/gh_mirrors/op/open-source-jobs open-source-jobs 是一个专注于连接开源项目与…...
从零打造微信聊天记录导出工具:PySide6界面开发与PyInstaller打包实战
1. 为什么需要自己开发微信聊天记录导出工具 最近有不少朋友问我,为什么市面上那么多微信聊天记录导出工具,还要自己动手开发?这个问题问得好。作为一个经常需要备份聊天记录的程序员,我试过不下十款工具,发现它们普遍…...
LFM2.5-1.2B-Thinking-GGUF效果展示:多语言混合prompt响应能力实测
LFM2.5-1.2B-Thinking-GGUF效果展示:多语言混合prompt响应能力实测 1. 模型核心能力概览 LFM2.5-1.2B-Thinking-GGUF是Liquid AI推出的轻量级文本生成模型,专为低资源环境优化设计。这个1.2B参数的模型采用GGUF格式,通过llama.cpp运行时实现高…...
)
Unity游戏开发:Highlight Plus 8.0在URP渲染管线下的完整配置指南(含常见问题解决)
Unity游戏开发:Highlight Plus 8.0在URP渲染管线下的完整配置指南(含常见问题解决) 在Unity游戏开发中,模型高亮效果是提升交互体验的关键技术之一。Highlight Plus作为一款功能强大的高亮插件,能够为3D模型添加轮廓光…...