首页 > 其他分享 >支付宝开放平台出现神秘人脸?解密浏览器书签收藏

支付宝开放平台出现神秘人脸?解密浏览器书签收藏

时间:2024-08-10 09:27:23浏览次数:13  
标签:浏览器 log 书签 开放平台 https com 图片

前言

​ 我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸

image-20240807200830374

一张笑容明媚的脸,就是出现的时候不太对

image-20240807145903596

正常的收藏网址 应该是显示对应log

image-20240807150108549

就不继续找相关例子了

​ 添加书签的页面,本该出现log的地方缺出现了一张神秘的人脸,不禁让人浮想联翩~~

​ 这位仁兄是在什么时候,什么情况下被拍到了这一场景,又是因为什么,替代了原本的log?一瞬间,我的大脑出现无数种可能

  • 我想到了这位仁兄是支付宝的一位项目组长,因为平时比较严厉,导致组员怨气横生,然后在一个夜深人静的夜晚,某个地方的log被替换了…
  • 还可能有个技术高超的老哥,他是个黑客。他把收藏书签的log换成这个,来证明自己的能力,因而加入某个秘密的黑客集团……
  • ……

但咱程序员,最重要的就是严谨,因此我开始尝试理解为什么会出现这种情况

复现

  • 我们首先在一切环境不变的情况下,进行复现
  • 若复现成功,则换个浏览器->换个电脑 这样进行测试

网址

https://open.alipay.com/portal/forum

在这里插入图片描述

  • 可以发现,复现是没有问题的,博主本来想用Eg浏览器复现一次,但Eg浏览器没有书签log

image-20240807152002091

  • 于是博主下载火狐浏览器,发现火狐浏览器也没有书签图片功能
  • 那就直接电脑吧,观察不同电脑的谷歌浏览器是不是都会出现人脸,来判断是否要继续不同浏览器

博主将自己发现告诉某群里的小伙伴,果然,小伙伴们也出现了这个情况

image-20240807193439934

  • 显然,复现是没有问题的,那这到底是怎么一回事呢?一时间我也没有什么头绪,于是来到掘金,想要看看有没人发现过这个问题

image-20240807153050043

  • 我顺手对掘金主页也点了一下。发现居然也没出现log,感觉真相已经逐渐浮出水面了

解密

image-20240807162123479

image-20240807162252857

  • 点开这位大哥一看,哦原来是一位用户呀,这个明媚的笑脸是大哥的头像
  • 那问题来了,为什么这位大哥的头像会出现在这里?

我们随便点开别的文章

image-20240807162422995

  • 好家伙,也是如此,似乎这个图案是页面的一个图片

  • 但上面头像在那么下面,为什么选择了这张头像?有什么规律吗?

    于是,我们先获得图片的路径,并在本地删除

    image-20240807162943856

  • 那这张图片本身,会有什么不一样吗?

https://tfs.alipayobjects.com/images/partner/T16XpbXkNbXXXXXXXX  //大哥图片 榜二
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*OqYBSLVeNFgAAAAAAAAAAAAADvx4AA/original?t=e4n_C310tvhOVbc75R-8cBGbC8Dn59M1v_rjs3-465EDAAAAZAAAePwAAAAA"  // 榜一
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*3-qLTLctY2YAAAAAAAAAAAAADvx4AA/original?t=kU4DXE3Ulac0BqNjbS_FM1CgdPPRv-t_AXE9O4ERrVUDAAAAZAAAePwAAAAA" //榜三
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*yoBBSrgEnaQAAAAAAAAAAAAADvx4AA/original?t=KS9ocyIOUiNyscJtZRfpGJNvRtpbFeTzD5BHJMpWen0DAAAAZAAAePwAAAAA" //榜四
src="https://gw.alipayobjects.com/v/mrch_developerops/afts/video/A*hVXnT7XTKVMAAAAAAAAAAAAADvx4AA/original?t=7zTMnTdfUEnB1STKq0U_l82GwFkrk-QoezPmznjQwEwDAAAAZAAAePwAAAAA"  //榜五
  • 欸,不知道你发现了没了,大哥图片怎么这么特殊,没有在 https://gw.alipayobjects.com/v/ 下面

  • 到目前为止,我们可以得出一个不那么经得起考验的结论:因为图片存储路径存储地方比较特殊,没有存储在v中

  • 这无疑是一个大的突破,我们随便找几篇文章来看看

image-20240807164112615

  • 这篇文章有两个图片,一个正方形 一个长方形

image-20240807164244922

image-20240807164257089

​ 但都没有让书签封面出现图片

​ 我们开始验证这人头像存储在哪里

image-20240807164428698

image-20240807164531372

多次验证

image-20240807164648495

  • 这一下 就把之前的结论推翻了。。

  • 博主去掘金看了看,发现在页面上没有找到掘金出现的那张图片

image-20240807165306282

  • 翻了下请求,发现也没有这张图片。。那接下来就是得了解这些网站是用什么开发,然后了解他们书签是图片是怎么来的了。这是我的破解思路。是浏览器还是网站的问题?

image-20240807165544811

  • 以下是搜索结果

image-20240807165737728

image-20240807165802096

image-20240807165830141

  • 无论怎样小图标是正常的显示的,因此,这个问题好像是一个没人注意过的问题,或许这是什么新的可以攻击的地方
  • 但博主没啥时间,不继续深究了,于是记录下来,将此发到网络上,希望能有大佬

你好,我是Qiuner. 为帮助别人少走弯路和记录自己编程学习过程而写博客

这是我的 github https://github.com/Qiuner ⭐️

gitee https://gitee.com/Qiuner

标签:浏览器,log,书签,开放平台,https,com,图片
From: https://blog.csdn.net/qq_61654952/article/details/141025948

相关文章

  • 使用HTML一键打包工具模拟其他浏览器 - User-Agent的起源到应用
    最近经常有一些朋友对于HTML一键打包工具中的User-Agent不太理解是什么意思,以及它到底有什么用途, 本篇文章会介绍一下User-Agent的起源,发展历程,以及它的使用场景,帮助你更好的了解和使用它User-Agent的起源与发展历程User-Agent最早出现在1990年代初期,随着NCSAMosaic......
  • 如何使用萤石开放平台的API文档
    萤石开放平台的API文档分为三个大类:产品文档,API接口文档和SDK文档。产品文档主要介绍该产品功能及使用方法,一般为操作类文档(不涉及开发),此部分内容建议在开发前了解产品时阅读;API接口文档包含了平台全部的接口,按照产品大类区分,需要找特定功能接口时请查阅此部分文档;SDK文档包......
  • 有网络限制时如何使用开放平台?
    情况一:客户端存在防火墙限制对于使用EZOPEN,RTMP,HLS,FLV协议播放的客户端:域名白名单配置:为了访问萤石开放平台,您需要将*.ys7.com(其中*为通配符,表示所有子域)添加到您的防火墙或安全软件的白名单中。这样可以确保客户端能够无阻碍地通过这些协议访问萤石开放平台提供的......
  • edge浏览器加载java插件的方法
    在MicrosoftEdge浏览器中直接加载Java插件并不是一个直接支持的功能,因为Edge是基于Chromium内核的浏览器,主要支持Web技术如HTML、CSS和JavaScript。Java插件(通常指的是Java小程序,使用Java编程语言编写的应用程序)主要用于在早期的InternetExplorer浏览器中运行,但在现代浏览器中已......
  • 浏览器标签页多行显示:使用Floorp浏览器 最先进的跨平台 Firefox 衍生品 开源之光
    浏览器打开了很多标签页,查看需要滚动 这查找效率就不是O(1)了,比如在编辑器中标签页直接多行显示 找了解决方案平常的主力浏览器是Firefoxchromesafarifirefoxfirefox之前有拓展TabMix可以用,现在弄得跟孙子似得,官方拓展不承认还要安装还要好的步骤,也没成功还有就是使......
  • 浏览器小说爬虫
    在外网偷偷爬点小说资源importpuppeteerfrom'puppeteer-core'importfsfrom'fs'(async()=>{constuserAgent="Mozilla/5.0(iPhone;CPUiPhoneOS16_6likeMacOSX)AppleWebKit/605.1.15(KHTML,likeGecko)Version/16.6Mobile/15......
  • # entos7系统安装稳定版Google浏览器
    首先,执行以下命令以导入Google的签名密钥,这样系统就能验证从Google官方仓库下载的软件包的真实性:Bash1sudorpm--importhttps://dl.google.com/linux/linux_signing_key.pub接着,创建一个新的Yum仓库配置文件/etc/yum.repos.d/google-chrome.repo,内容如下:Bash1sudosh-c......
  • 淘宝开放平台上货接口
    在我们对接淘宝开放平台的工作中,公司的运营有可能学提出需求让程序员实现软件自动上传宝贝信息,特别是一些sku超级多但是商品信息又比较标准化的品类,比如图书品类。这就需要调用淘宝开放平台中商品上传接口了,开放平台中关于商品上传的接口,在2022年以前常用的是taobao.item.add,但......
  • Python & Selenium 4 & Edge 浏览器 |加载个人浏览器配置文件(包括cookie)
    使用Selenium4,我尝试加载我的个人浏览器配置文件(包括cookie),以便它可以加载到我之前登录过的网站。我正在使用边缘浏览器。在测试我的代码片段时,它似乎没有加载我的浏览器配置文件,而是创建一个新的(配置文件1)。我已确保配置文件的路径是正确的。我的代码片段:edge_opt......
  • Header Editor管理浏览器请求,包括修改请求头和响应头、重定向请求、取消请求
    HeaderEditor管理浏览器请求,包括修改请求头和响应头、重定向请求、取消请求 https://github.com/FirefoxBar/HeaderEditor 浏览器安装 FirefoxMozillaAdd-on 或我们的自分发版本 ChromeChromeWebStore Edge(Chromium)EdgeAddons  ......