支付宝开放平台竟出现一张神秘人脸!
前言
我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸
添加书签的页面,本该出现log的地方缺出现了一张神秘的人脸,不禁让人浮想联翩~~
这位仁兄是在什么时候,什么情况下被拍到了这一场景,又是因为什么,替代了原本的log?一瞬间,我的大脑出现无数种可能
- 我想到了这位仁兄是支付宝的一位项目组长,因为平时比较严厉,导致组员怨气横生,然后在一个夜深人静的夜晚,某个地方的log被替换了…
- 还可能有个技术高超的老哥,他是个黑客。他把收藏书签的log换成这个,来证明自己的能力,因而加入某个秘密的黑客集团……
- ……
但咱程序员,最重要的就是严谨,因此我开始尝试理解为什么会出现这种情况
复现
- 我们首先在一切环境不变的情况下,进行复现
- 若复现成功,则换个浏览器->换个电脑 这样进行测试
网址
https://open.alipay.com/portal/forum
- 可以发现,复现是没有问题的,博主本来想用Eg浏览器复现一次,但Eg浏览器没有书签log
- 于是博主下载火狐浏览器,发现火狐浏览器也没有书签图片功能
- 那就直接电脑吧,观察不同电脑的谷歌浏览器是不是都会出现人脸,来判断是否要继续不同浏览器
博主将自己发现告诉某群里的小伙伴,果然,小伙伴们也出现了这个情况
- 显然,复现是没有问题的,那这到底是怎么一回事呢?一时间我也没有什么头绪,于是来到掘金,想要看看有没人发现过这个问题
- 我顺手对掘金主页也点了一下。发现居然也没出现log,感觉真相已经逐渐浮出水面了
解密
- 点开这位大哥一看,哦原来是一位用户呀,这个明媚的笑脸是大哥的头像
- 那问题来了,为什么这位大哥的头像会出现在这里?
我们随便点开别的文章
-
好家伙,也是如此,似乎这个图案是页面的一个图片
-
但上面头像在那么下面,为什么选择了这张头像?有什么规律吗?
于是,我们先获得图片的路径,并在本地删除
-
那这张图片本身,会有什么不一样吗?
https://tfs.alipayobjects.com/images/partner/T16XpbXkNbXXXXXXXX //大哥图片 榜二
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*OqYBSLVeNFgAAAAAAAAAAAAADvx4AA/original?t=e4n_C310tvhOVbc75R-8cBGbC8Dn59M1v_rjs3-465EDAAAAZAAAePwAAAAA" // 榜一
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*3-qLTLctY2YAAAAAAAAAAAAADvx4AA/original?t=kU4DXE3Ulac0BqNjbS_FM1CgdPPRv-t_AXE9O4ERrVUDAAAAZAAAePwAAAAA" //榜三
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*yoBBSrgEnaQAAAAAAAAAAAAADvx4AA/original?t=KS9ocyIOUiNyscJtZRfpGJNvRtpbFeTzD5BHJMpWen0DAAAAZAAAePwAAAAA" //榜四
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*hVXnT7XTKVMAAAAAAAAAAAAADvx4AA/original?t=7zTMnTdfUEnB1STKq0U_l82GwFkrk-QoezPmznjQwEwDAAAAZAAAePwAAAAA" //榜五
-
欸,不知道你发现了没了,大哥图片怎么这么特殊,没有在 https://gw.alipayobjects.com/v/ 下面
-
到目前为止,我们可以得出一个不那么经得起考验的结论:因为图片存储路径存储地方比较特殊,没有存储在v中
-
这无疑是一个大的突破,我们随便找几篇文章来看看
- 这篇文章有两个图片,一个正方形 一个长方形
但都没有让书签封面出现图片
我们开始验证这人头像存储在哪里
多次验证
-
这一下 就把之前的结论推翻了。。
-
博主去掘金看了看,发现在页面上没有找到掘金出现的那张图片
- 翻了下请求,发现也没有这张图片。。那接下来就是得了解这些网站是用什么开发,然后了解他们书签是图片是怎么来的了。这是我的破解思路。是浏览器还是网站的问题?
- 以下是搜索结果
- 无论怎样小图标是正常的显示的,因此,这个问题好像是一个没人注意过的问题,或许这是什么新的可以攻击的地方
- 但博主没啥时间,不继续深究了,于是记录下来,将此发到网络上,希望能有大佬
你好,我是Qiuner. 为帮助别人少走弯路和记录自己编程学习过程而写博客
这是我的 github https://github.com/Qiuner ⭐️
gitee https://gitee.com/Qiuner 🌹
如果本篇文章帮到了你 不妨点个赞吧~ 我会很高兴的 😄 (^ ~ ^)
想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎
更多专栏订阅:
📊 一图读懂系列
📝 一文读懂系列
⚽ Uniapp
🌟 持续更新
🤩 Vue项目实战
🚀 JavaWeb
🎨 设计模式
📡 计算机网络
🎯 人生经验
🔍 软件测试
掘金账号
感谢订阅专栏 三连文章
相关文章:
支付宝开放平台竟出现一张神秘人脸!
前言 我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸 一张笑容明媚的脸,就是出现的时候不太对 正常的收藏网址 应该是显示对应log 就不继续找相关例子了 添加书签的页面,本该出现log的地方缺出现了…...
每日学术速递8.8
1.Rethinking temporal self-similarity for repetitive action counting 标题:重新思考重复动作计数的时间自相似性 作者: Yanan Luo, Jinhui Yi, Yazan Abu Farha, Moritz Wolter, Juergen Gall 文章链接:https://arxiv.org/abs/2407.09…...
【JVM基础12】——垃圾回收-说一下JVM有哪些垃圾回收器?
目录 1- 引言:垃圾回收器2- ⭐核心:垃圾回收器详解2-1 串行垃圾回收器2-2 并行垃圾回收器2-3 CMS(并发垃圾回收)——主要作用在老年代 3- 小结3-1 说一下JVM有哪些垃圾回收器? 1- 引言:垃圾回收器 在 JVM …...
进阶学习------linux运维读写执行权限
进阶学习------linux运维读写执行权限 在UNIX和类UNIX操作系统中,文件权限是通过一组特定的数字来表示的,这些数字分为三组,分别对应于用户(文件所有者)、组和其他用户的权限。每组权限由三个二进制位表示,…...
视频循环存储的实现
目录 1. 三方工具 2. 视频存储的实现 2.1 分段存储 - 比如每15分钟 2.2 对齐到15分钟整边界 2.3 循环存储的实现 video_space_daemon.sh 3.封装 3.1 主执行程序,修订版 3.2 创建服务 3.3 service关联的执行脚本文件 4.额外的工作 附录A: ffmpeg视频存储…...
在centOS系统中使用docker部署Jenkins
1. 安装docker 1.1 下载Docker依赖组件 yum -y install yum-utils device-mapper-persistent-data lvm2 1.2 设置下载Docker的镜像源为阿里云 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 1.3 安装Docker服务 yum …...
Qt 将生成的exe文件自动复制到其它目录下
QT pro中加入文件拷贝方法_qt pro复制粘贴-CSDN博客 目标: 例如:在release模式下,exe文件生成于: "G:\test\build\release\shakeSensor.exe" 此时,我希望在生成该exe文件时, "G:\test\…...
openwrt下,用iptable转发端口访问远程的SMB服务
首先初步学习一下iptales的命令 iptales指令的详细教程:https://blog.csdn.net/weixin_44390164/article/details/120500075 实践一、转发地址与端口 外网远程服务上开放了SMB服务,端口号自定义的为44513,WINDOWS不能直接访问,…...
JVM类加载中的双亲委派机制
【1】什么是双亲委派 Java虚拟机对class文件采用的是按需加载的方式,也就是说当需要使用该类时才会将它的class文件加载到内存生成class对象。而且加载某个类的class文件时,Java虚拟机采用的是双亲委派模式,即把请求交由父类处理,…...
【OpenCV C++20 学习笔记】范围阈值操作
范围阈值操作 原理HSV颜色空间RGB与HSV颜色空间之间的转换 代码实现颜色空间的转换范围阈值操作 原理 HSV颜色空间 HSV(色相hue, 饱和度sarturation, 色明度value)颜色空间与RGB颜色空间相似。hue色相通道代表颜色类型;saturation饱和度通道代表颜色的饱和度&…...
【Material-UI】Checkbox组件:Indeterminate状态详解
文章目录 一、什么是Indeterminate状态?二、Indeterminate状态的实现1. 基本用法示例2. 代码解析3. Indeterminate状态的应用场景 三、Indeterminate状态的UI与可访问性1. 无障碍设计2. 用户体验优化 四、Indeterminate状态的最佳实践1. 状态同步2. 优化性能3. 提供…...
一文了解K8S(Kubernates)
一、K8S 1. 概述 Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 Kubernetes 拥有一个庞大且快速增长的生态,其服务、支持和工具的使用范围相当广泛。 Kubernetes 这个名字源于希腊…...
三星、小米和 OPPO设备实验室将采用Android设备流技术
早在 5 月份的年度开发者大会上,Google就发布了 Android 设备流测试版。开发人员可以在Google数据中心的真实物理设备上更轻松、更互动地测试自己的应用程序,这些设备会直接串流到 Android Studio。今天,Google宣布与三星、小米和 OPPO 合作扩…...
华为OD-D卷万能字符单词拼写
有一个字符串数组words和一个字符串chars。 假如可以用chars中的字母拼写出words中的某个“单词”(字符串),那么我们就认为你掌握了这个单词。 words的字符仅由 a-z 英文小写字母组成。 例如: abc chars 由 a-z 英文小写字母和 “?”组成。其…...
顶象文字点选模型识别
注意,本文只提供学习的思路,严禁违反法律以及破坏信息系统等行为,本文只提供思路 如有侵犯,请联系作者下架 文字点选如何训练,之前的文章说了很多遍了,这里只放现成的模型供查看,有需要成品联系…...
C#如何将自己封装的nuget包引入到项目中
问题 自己封装好了一个nuget包,但是不想上传到外网,想局域网使用,有两种方案 搭建私有nuget仓库放到离线文件夹中直接使用 第一种方式请请参考proget安装 下面主要是第二种方式 准备 新建类库项目 using System;namespace ClassLibrary…...
2024.8.8(栈,队列))
数据结构(学习)2024.8.8(栈,队列)
今天学习的是线性表里面的栈和队列 链表的相关知识可以查看http://t.csdnimg.cn/NX464 顺序表的相关知识可以查看http://t.csdnimg.cn/5IMAZ 目录 栈 栈的定义 栈的特点 顺序栈 结构体 顺序栈的相关操作案例 链式栈 结构体 链式栈的相关操作案例 总结 队列 队列…...
)
服务端开发常用知识(持续更新中)
Java方面 1 基础篇 1.1 网络基础 tcp三次握手和四次挥手-CSDN博客 tcp和udp区别,tcp拥塞控制算法和粘包问题-CSDN博客 http的发展历史,各版本的差异点,以及和https的区别-CSDN博客 2 jvm篇 3 多线程篇 4 mysql篇 5 redis篇 6 kafk…...
MySQL入门学习-运维与架构.复制过滤器
MySQL 复制过滤器是一种用于过滤复制数据的机制。它可以根据特定的规则,选择要复制的数据库、表或列,从而减少复制的数据量,提高复制性能。 一、以下是一些常见的 MySQL 复制过滤器: 1. 基于二进制日志的过滤器: 通过…...
【深度学习】生成领域里,Normalizing Flow、GAN、VAE、Diffusion Models的区别是什么?
文章目录 1. Normalizing Flow2. GAN (Generative Adversarial Networks)3. VAE (Variational Autoencoders)4. Diffusion Models总结1. Normalizing Flow公式代码示例2. GAN (Generative Adversarial Networks)公式代码示例3. VAE (Variational Autoencoders)公式代码示例4. D…...
SkyWalking 10.2.0 SWCK 配置过程
SkyWalking 10.2.0 & SWCK 配置过程 skywalking oap-server & ui 使用Docker安装在K8S集群以外,K8S集群中的微服务使用initContainer按命名空间将skywalking-java-agent注入到业务容器中。 SWCK有整套的解决方案,全安装在K8S群集中。 具体可参…...
调用支付宝接口响应40004 SYSTEM_ERROR问题排查
在对接支付宝API的时候,遇到了一些问题,记录一下排查过程。 Body:{"datadigital_fincloud_generalsaas_face_certify_initialize_response":{"msg":"Business Failed","code":"40004","sub_msg…...
<6>-MySQL表的增删查改
目录 一,create(创建表) 二,retrieve(查询表) 1,select列 2,where条件 三,update(更新表) 四,delete(删除表…...
Spark 之 入门讲解详细版(1)
1、简介 1.1 Spark简介 Spark是加州大学伯克利分校AMP实验室(Algorithms, Machines, and People Lab)开发通用内存并行计算框架。Spark在2013年6月进入Apache成为孵化项目,8个月后成为Apache顶级项目,速度之快足见过人之处&…...
C++:std::is_convertible
C++标志库中提供is_convertible,可以测试一种类型是否可以转换为另一只类型: template <class From, class To> struct is_convertible; 使用举例: #include <iostream> #include <string>using namespace std;struct A { }; struct B : A { };int main…...
《Playwright:微软的自动化测试工具详解》
Playwright 简介:声明内容来自网络,将内容拼接整理出来的文档 Playwright 是微软开发的自动化测试工具,支持 Chrome、Firefox、Safari 等主流浏览器,提供多语言 API(Python、JavaScript、Java、.NET)。它的特点包括&a…...
解决Ubuntu22.04 VMware失败的问题 ubuntu入门之二十八
现象1 打开VMware失败 Ubuntu升级之后打开VMware上报需要安装vmmon和vmnet,点击确认后如下提示 最终上报fail 解决方法 内核升级导致,需要在新内核下重新下载编译安装 查看版本 $ vmware -v VMware Workstation 17.5.1 build-23298084$ lsb_release…...
最新SpringBoot+SpringCloud+Nacos微服务框架分享
文章目录 前言一、服务规划二、架构核心1.cloud的pom2.gateway的异常handler3.gateway的filter4、admin的pom5、admin的登录核心 三、code-helper分享总结 前言 最近有个活蛮赶的,根据Excel列的需求预估的工时直接打骨折,不要问我为什么,主要…...
DIY|Mac 搭建 ESP-IDF 开发环境及编译小智 AI
前一阵子在百度 AI 开发者大会上,看到基于小智 AI DIY 玩具的演示,感觉有点意思,想着自己也来试试。 如果只是想烧录现成的固件,乐鑫官方除了提供了 Windows 版本的 Flash 下载工具 之外,还提供了基于网页版的 ESP LA…...
unix/linux,sudo,其发展历程详细时间线、由来、历史背景
sudo 的诞生和演化,本身就是一部 Unix/Linux 系统管理哲学变迁的微缩史。来,让我们拨开时间的迷雾,一同探寻 sudo 那波澜壮阔(也颇为实用主义)的发展历程。 历史背景:su的时代与困境 ( 20 世纪 70 年代 - 80 年代初) 在 sudo 出现之前,Unix 系统管理员和需要特权操作的…...