支付宝开放平台竟出现一张神秘人脸!

前言

​ 我因一个单子来到支付宝开放平台来。在将其加入书签的时候,我发现出现了个神秘的人脸


一张笑容明媚的脸,就是出现的时候不太对


正常的收藏网址 应该是显示对应log


就不继续找相关例子了

​ 添加书签的页面,本该出现log的地方缺出现了一张神秘的人脸,不禁让人浮想联翩~~

​ 这位仁兄是在什么时候,什么情况下被拍到了这一场景,又是因为什么,替代了原本的log?一瞬间,我的大脑出现无数种可能

  • 我想到了这位仁兄是支付宝的一位项目组长,因为平时比较严厉,导致组员怨气横生,然后在一个夜深人静的夜晚,某个地方的log被替换了...
  • 还可能有个技术高超的老哥,他是个黑客。他把收藏书签的log换成这个,来证明自己的能力,因而加入某个秘密的黑客集团......
  • ......

但咱程序员,最重要的就是严谨,因此我开始尝试理解为什么会出现这种情况

复现

  • 我们首先在一切环境不变的情况下,进行复现
  • 若复现成功,则换个浏览器->换个电脑 这样进行测试

网址

https://open.alipay.com/portal/forum
  • 可以发现,复现是没有问题的,博主本来想用Eg浏览器复现一次,但Eg浏览器没有书签log
  • 于是博主下载火狐浏览器,发现火狐浏览器也没有书签图片功能
  • 那就直接电脑吧,观察不同电脑的谷歌浏览器是不是都会出现人脸,来判断是否要继续不同浏览器

博主将自己发现告诉某群里的小伙伴,果然,小伙伴们也出现了这个情况

  • 显然,复现是没有问题的,那这到底是怎么一回事呢?一时间我也没有什么头绪,于是来到掘金,想要看看有没人发现过这个问题
  • 我顺手对掘金主页也点了一下。发现居然也没出现log,感觉真相已经逐渐浮出水面了

解密

  • 点开这位大哥一看,哦原来是一位用户呀,这个明媚的笑脸是大哥的头像
  • 那问题来了,为什么这位大哥的头像会出现在这里?

我们随便点开别的文章

  • 这篇文章有两个图片,一个正方形 一个长方形

​ 但都没有让书签封面出现图片

​ 我们开始验证这人头像存储在哪里

多次验证

  • 这一下 就把之前的结论推翻了。。

  • 博主去掘金看了看,发现在页面上没有找到掘金出现的那张图片

  • 翻了下请求,发现也没有这张图片。。那接下来就是得了解这些网站是用什么开发,然后了解他们书签是图片是怎么来的了。这是我的破解思路。是浏览器还是网站的问题?
  • 以下是搜索结果
  • 无论怎样小图标是正常的显示的,因此,这个问题好像是一个没人注意过的问题,或许这是什么新的可以攻击的地方
  • 但博主没啥时间,不继续深究了,于是记录下来,将此发到网络上,希望能有大佬

你好,我是Qiuner. 为帮助别人少走弯路和记录自己编程学习过程而写博客

这是我的 github https://github.com/Qiuner ⭐️

gitee https://gitee.com/Qiuner 🌹

如果本篇文章帮到了你 不妨点个吧~ 我会很高兴的 😄 (^ ~ ^)

想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎
更多专栏订阅:

掘金账号
感谢订阅专栏 三连文章

相关推荐
向前看-19 分钟前
验证码机制
前端·后端
独行soc1 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
燃先生._.1 小时前
Day-03 Vue(生命周期、生命周期钩子八个函数、工程化开发和脚手架、组件化开发、根组件、局部注册和全局注册的步骤)
前端·javascript·vue.js
高山我梦口香糖2 小时前
[react]searchParams转普通对象
开发语言·前端·javascript
m0_748235242 小时前
前端实现获取后端返回的文件流并下载
前端·状态模式
独行soc3 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
m0_748240253 小时前
前端如何检测用户登录状态是否过期
前端
black^sugar3 小时前
纯前端实现更新检测
开发语言·前端·javascript
Clockwiseee4 小时前
php伪协议
windows·安全·web安全·网络安全