支付宝开放平台竟出现一张神秘人脸!
前言
我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸
添加书签的页面,本该出现log的地方缺出现了一张神秘的人脸,不禁让人浮想联翩~~
这位仁兄是在什么时候,什么情况下被拍到了这一场景,又是因为什么,替代了原本的log?一瞬间,我的大脑出现无数种可能
- 我想到了这位仁兄是支付宝的一位项目组长,因为平时比较严厉,导致组员怨气横生,然后在一个夜深人静的夜晚,某个地方的log被替换了…
- 还可能有个技术高超的老哥,他是个黑客。他把收藏书签的log换成这个,来证明自己的能力,因而加入某个秘密的黑客集团……
- ……
但咱程序员,最重要的就是严谨,因此我开始尝试理解为什么会出现这种情况
复现
- 我们首先在一切环境不变的情况下,进行复现
- 若复现成功,则换个浏览器->换个电脑 这样进行测试
网址
https://open.alipay.com/portal/forum
- 可以发现,复现是没有问题的,博主本来想用Eg浏览器复现一次,但Eg浏览器没有书签log
- 于是博主下载火狐浏览器,发现火狐浏览器也没有书签图片功能
- 那就直接电脑吧,观察不同电脑的谷歌浏览器是不是都会出现人脸,来判断是否要继续不同浏览器
博主将自己发现告诉某群里的小伙伴,果然,小伙伴们也出现了这个情况
- 显然,复现是没有问题的,那这到底是怎么一回事呢?一时间我也没有什么头绪,于是来到掘金,想要看看有没人发现过这个问题
- 我顺手对掘金主页也点了一下。发现居然也没出现log,感觉真相已经逐渐浮出水面了
解密
- 点开这位大哥一看,哦原来是一位用户呀,这个明媚的笑脸是大哥的头像
- 那问题来了,为什么这位大哥的头像会出现在这里?
我们随便点开别的文章
-
好家伙,也是如此,似乎这个图案是页面的一个图片
-
但上面头像在那么下面,为什么选择了这张头像?有什么规律吗?
于是,我们先获得图片的路径,并在本地删除
-
那这张图片本身,会有什么不一样吗?
https://tfs.alipayobjects.com/images/partner/T16XpbXkNbXXXXXXXX //大哥图片 榜二
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*OqYBSLVeNFgAAAAAAAAAAAAADvx4AA/original?t=e4n_C310tvhOVbc75R-8cBGbC8Dn59M1v_rjs3-465EDAAAAZAAAePwAAAAA" // 榜一
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*3-qLTLctY2YAAAAAAAAAAAAADvx4AA/original?t=kU4DXE3Ulac0BqNjbS_FM1CgdPPRv-t_AXE9O4ERrVUDAAAAZAAAePwAAAAA" //榜三
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*yoBBSrgEnaQAAAAAAAAAAAAADvx4AA/original?t=KS9ocyIOUiNyscJtZRfpGJNvRtpbFeTzD5BHJMpWen0DAAAAZAAAePwAAAAA" //榜四
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*hVXnT7XTKVMAAAAAAAAAAAAADvx4AA/original?t=7zTMnTdfUEnB1STKq0U_l82GwFkrk-QoezPmznjQwEwDAAAAZAAAePwAAAAA" //榜五
-
欸,不知道你发现了没了,大哥图片怎么这么特殊,没有在 https://gw.alipayobjects.com/v/ 下面
-
到目前为止,我们可以得出一个不那么经得起考验的结论:因为图片存储路径存储地方比较特殊,没有存储在v中
-
这无疑是一个大的突破,我们随便找几篇文章来看看
- 这篇文章有两个图片,一个正方形 一个长方形
但都没有让书签封面出现图片
我们开始验证这人头像存储在哪里
多次验证
-
这一下 就把之前的结论推翻了。。
-
博主去掘金看了看,发现在页面上没有找到掘金出现的那张图片
- 翻了下请求,发现也没有这张图片。。那接下来就是得了解这些网站是用什么开发,然后了解他们书签是图片是怎么来的了。这是我的破解思路。是浏览器还是网站的问题?
- 以下是搜索结果
- 无论怎样小图标是正常的显示的,因此,这个问题好像是一个没人注意过的问题,或许这是什么新的可以攻击的地方
- 但博主没啥时间,不继续深究了,于是记录下来,将此发到网络上,希望能有大佬
你好,我是Qiuner. 为帮助别人少走弯路和记录自己编程学习过程而写博客
这是我的 github https://github.com/Qiuner ⭐️
gitee https://gitee.com/Qiuner 🌹
如果本篇文章帮到了你 不妨点个赞吧~ 我会很高兴的 😄 (^ ~ ^)
想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎
更多专栏订阅:
📊 一图读懂系列
📝 一文读懂系列
⚽ Uniapp
🌟 持续更新
🤩 Vue项目实战
🚀 JavaWeb
🎨 设计模式
📡 计算机网络
🎯 人生经验
🔍 软件测试
掘金账号
感谢订阅专栏 三连文章
相关文章:
支付宝开放平台竟出现一张神秘人脸!
前言 我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸 一张笑容明媚的脸,就是出现的时候不太对 正常的收藏网址 应该是显示对应log 就不继续找相关例子了 添加书签的页面,本该出现log的地方缺出现了…...
每日学术速递8.8
1.Rethinking temporal self-similarity for repetitive action counting 标题:重新思考重复动作计数的时间自相似性 作者: Yanan Luo, Jinhui Yi, Yazan Abu Farha, Moritz Wolter, Juergen Gall 文章链接:https://arxiv.org/abs/2407.09…...
【JVM基础12】——垃圾回收-说一下JVM有哪些垃圾回收器?
目录 1- 引言:垃圾回收器2- ⭐核心:垃圾回收器详解2-1 串行垃圾回收器2-2 并行垃圾回收器2-3 CMS(并发垃圾回收)——主要作用在老年代 3- 小结3-1 说一下JVM有哪些垃圾回收器? 1- 引言:垃圾回收器 在 JVM …...
进阶学习------linux运维读写执行权限
进阶学习------linux运维读写执行权限 在UNIX和类UNIX操作系统中,文件权限是通过一组特定的数字来表示的,这些数字分为三组,分别对应于用户(文件所有者)、组和其他用户的权限。每组权限由三个二进制位表示,…...
视频循环存储的实现
目录 1. 三方工具 2. 视频存储的实现 2.1 分段存储 - 比如每15分钟 2.2 对齐到15分钟整边界 2.3 循环存储的实现 video_space_daemon.sh 3.封装 3.1 主执行程序,修订版 3.2 创建服务 3.3 service关联的执行脚本文件 4.额外的工作 附录A: ffmpeg视频存储…...
在centOS系统中使用docker部署Jenkins
1. 安装docker 1.1 下载Docker依赖组件 yum -y install yum-utils device-mapper-persistent-data lvm2 1.2 设置下载Docker的镜像源为阿里云 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 1.3 安装Docker服务 yum …...
Qt 将生成的exe文件自动复制到其它目录下
QT pro中加入文件拷贝方法_qt pro复制粘贴-CSDN博客 目标: 例如:在release模式下,exe文件生成于: "G:\test\build\release\shakeSensor.exe" 此时,我希望在生成该exe文件时, "G:\test\…...
openwrt下,用iptable转发端口访问远程的SMB服务
首先初步学习一下iptales的命令 iptales指令的详细教程:https://blog.csdn.net/weixin_44390164/article/details/120500075 实践一、转发地址与端口 外网远程服务上开放了SMB服务,端口号自定义的为44513,WINDOWS不能直接访问,…...
JVM类加载中的双亲委派机制
【1】什么是双亲委派 Java虚拟机对class文件采用的是按需加载的方式,也就是说当需要使用该类时才会将它的class文件加载到内存生成class对象。而且加载某个类的class文件时,Java虚拟机采用的是双亲委派模式,即把请求交由父类处理,…...
【OpenCV C++20 学习笔记】范围阈值操作
范围阈值操作 原理HSV颜色空间RGB与HSV颜色空间之间的转换 代码实现颜色空间的转换范围阈值操作 原理 HSV颜色空间 HSV(色相hue, 饱和度sarturation, 色明度value)颜色空间与RGB颜色空间相似。hue色相通道代表颜色类型;saturation饱和度通道代表颜色的饱和度&…...
【Material-UI】Checkbox组件:Indeterminate状态详解
文章目录 一、什么是Indeterminate状态?二、Indeterminate状态的实现1. 基本用法示例2. 代码解析3. Indeterminate状态的应用场景 三、Indeterminate状态的UI与可访问性1. 无障碍设计2. 用户体验优化 四、Indeterminate状态的最佳实践1. 状态同步2. 优化性能3. 提供…...
一文了解K8S(Kubernates)
一、K8S 1. 概述 Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 Kubernetes 拥有一个庞大且快速增长的生态,其服务、支持和工具的使用范围相当广泛。 Kubernetes 这个名字源于希腊…...
三星、小米和 OPPO设备实验室将采用Android设备流技术
早在 5 月份的年度开发者大会上,Google就发布了 Android 设备流测试版。开发人员可以在Google数据中心的真实物理设备上更轻松、更互动地测试自己的应用程序,这些设备会直接串流到 Android Studio。今天,Google宣布与三星、小米和 OPPO 合作扩…...
华为OD-D卷万能字符单词拼写
有一个字符串数组words和一个字符串chars。 假如可以用chars中的字母拼写出words中的某个“单词”(字符串),那么我们就认为你掌握了这个单词。 words的字符仅由 a-z 英文小写字母组成。 例如: abc chars 由 a-z 英文小写字母和 “?”组成。其…...
顶象文字点选模型识别
注意,本文只提供学习的思路,严禁违反法律以及破坏信息系统等行为,本文只提供思路 如有侵犯,请联系作者下架 文字点选如何训练,之前的文章说了很多遍了,这里只放现成的模型供查看,有需要成品联系…...
C#如何将自己封装的nuget包引入到项目中
问题 自己封装好了一个nuget包,但是不想上传到外网,想局域网使用,有两种方案 搭建私有nuget仓库放到离线文件夹中直接使用 第一种方式请请参考proget安装 下面主要是第二种方式 准备 新建类库项目 using System;namespace ClassLibrary…...
2024.8.8(栈,队列))
数据结构(学习)2024.8.8(栈,队列)
今天学习的是线性表里面的栈和队列 链表的相关知识可以查看http://t.csdnimg.cn/NX464 顺序表的相关知识可以查看http://t.csdnimg.cn/5IMAZ 目录 栈 栈的定义 栈的特点 顺序栈 结构体 顺序栈的相关操作案例 链式栈 结构体 链式栈的相关操作案例 总结 队列 队列…...
)
服务端开发常用知识(持续更新中)
Java方面 1 基础篇 1.1 网络基础 tcp三次握手和四次挥手-CSDN博客 tcp和udp区别,tcp拥塞控制算法和粘包问题-CSDN博客 http的发展历史,各版本的差异点,以及和https的区别-CSDN博客 2 jvm篇 3 多线程篇 4 mysql篇 5 redis篇 6 kafk…...
MySQL入门学习-运维与架构.复制过滤器
MySQL 复制过滤器是一种用于过滤复制数据的机制。它可以根据特定的规则,选择要复制的数据库、表或列,从而减少复制的数据量,提高复制性能。 一、以下是一些常见的 MySQL 复制过滤器: 1. 基于二进制日志的过滤器: 通过…...
【深度学习】生成领域里,Normalizing Flow、GAN、VAE、Diffusion Models的区别是什么?
文章目录 1. Normalizing Flow2. GAN (Generative Adversarial Networks)3. VAE (Variational Autoencoders)4. Diffusion Models总结1. Normalizing Flow公式代码示例2. GAN (Generative Adversarial Networks)公式代码示例3. VAE (Variational Autoencoders)公式代码示例4. D…...
LBE-LEX系列工业语音播放器|预警播报器|喇叭蜂鸣器的上位机配置操作说明
LBE-LEX系列工业语音播放器|预警播报器|喇叭蜂鸣器专为工业环境精心打造,完美适配AGV和无人叉车。同时,集成以太网与语音合成技术,为各类高级系统(如MES、调度系统、库位管理、立库等)提供高效便捷的语音交互体验。 L…...
)
Java 语言特性(面试系列1)
一、面向对象编程 1. 封装(Encapsulation) 定义:将数据(属性)和操作数据的方法绑定在一起,通过访问控制符(private、protected、public)隐藏内部实现细节。示例: public …...
《Qt C++ 与 OpenCV:解锁视频播放程序设计的奥秘》
引言:探索视频播放程序设计之旅 在当今数字化时代,多媒体应用已渗透到我们生活的方方面面,从日常的视频娱乐到专业的视频监控、视频会议系统,视频播放程序作为多媒体应用的核心组成部分,扮演着至关重要的角色。无论是在个人电脑、移动设备还是智能电视等平台上,用户都期望…...
《Playwright:微软的自动化测试工具详解》
Playwright 简介:声明内容来自网络,将内容拼接整理出来的文档 Playwright 是微软开发的自动化测试工具,支持 Chrome、Firefox、Safari 等主流浏览器,提供多语言 API(Python、JavaScript、Java、.NET)。它的特点包括&a…...
Nginx server_name 配置说明
Nginx 是一个高性能的反向代理和负载均衡服务器,其核心配置之一是 server 块中的 server_name 指令。server_name 决定了 Nginx 如何根据客户端请求的 Host 头匹配对应的虚拟主机(Virtual Host)。 1. 简介 Nginx 使用 server_name 指令来确定…...
指令的指南)
在Ubuntu中设置开机自动运行(sudo)指令的指南
在Ubuntu系统中,有时需要在系统启动时自动执行某些命令,特别是需要 sudo权限的指令。为了实现这一功能,可以使用多种方法,包括编写Systemd服务、配置 rc.local文件或使用 cron任务计划。本文将详细介绍这些方法,并提供…...
uniapp微信小程序视频实时流+pc端预览方案
方案类型技术实现是否免费优点缺点适用场景延迟范围开发复杂度WebSocket图片帧定时拍照Base64传输✅ 完全免费无需服务器 纯前端实现高延迟高流量 帧率极低个人demo测试 超低频监控500ms-2s⭐⭐RTMP推流TRTC/即构SDK推流❌ 付费方案 (部分有免费额度&#x…...
WordPress插件:AI多语言写作与智能配图、免费AI模型、SEO文章生成
厌倦手动写WordPress文章?AI自动生成,效率提升10倍! 支持多语言、自动配图、定时发布,让内容创作更轻松! AI内容生成 → 不想每天写文章?AI一键生成高质量内容!多语言支持 → 跨境电商必备&am…...
MySQL 8.0 OCP 英文题库解析(十三)
Oracle 为庆祝 MySQL 30 周年,截止到 2025.07.31 之前。所有人均可以免费考取原价245美元的MySQL OCP 认证。 从今天开始,将英文题库免费公布出来,并进行解析,帮助大家在一个月之内轻松通过OCP认证。 本期公布试题111~120 试题1…...
什么?连接服务器也能可视化显示界面?:基于X11 Forwarding + CentOS + MobaXterm实战指南
文章目录 什么是X11?环境准备实战步骤1️⃣ 服务器端配置(CentOS)2️⃣ 客户端配置(MobaXterm)3️⃣ 验证X11 Forwarding4️⃣ 运行自定义GUI程序(Python示例)5️⃣ 成功效果![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/55aefaea8a9f477e86d065227851fe3d.pn…...