Saya mengambil kesempatan daripada ralat dalam kod apl dating
Semasa menggunakan aplikasi temu janji gaya Tinder, salah satu aplikasi yang, selepas saling suka, aplikasi itu meletakkan orang yang terlibat dalam hubungan, saya perhatikan bahawa, untuk mempromosikan pelan premium mereka, mereka menggunakan gambar kabur untuk memperkenalkan anda orang yang telah menekan butang Suka pada profil anda.
Selepas mengadakan beberapa perlawanan, saya mendapati bahawa gambar kabur itu adalah milik akaun sebenar, iaitu, ia bukan satu set imej generik atau ruang letak.
Contoh kesan kabur yang digunakan pada fotografi
Bunyinya terlalu jelas, jadi saya membuka konsol pembangun penyemak imbas saya dan pergi ke kod CSS untuk menyemak syak wasangka saya. Mereka tidak mungkin membuat kesilapan sebegitu mudah—saya fikir—mereka melindungi identiti gambar dengan CSS mudah penapis: kabur.
.hidden-image { filter: blur(4px); }
Pemprosesan imej apl temu janji ini.
Imej sebenar telah disampaikan oleh CDN apl ini dan kemudian penapis digunakan untuk menyembunyikannya, jadi untuk mengetahui siapa yang menyukai anda, anda hanya perlu mengalih keluar penapis.
Malangnya adalah mustahil untuk mendapatkan sebarang data lain daripada gambar atau daripada struktur URL, panggilan API atau mana-mana yang diberikan; nama, profil mahupun maklumat lain tidak boleh diakses selain gambar profil.
Bagaimana untuk menyembunyikan imej dalam aplikasi dating?
Sudah tentu ini adalah kesilapan seni bina, memang benar bahawa sangat mudah untuk menyembunyikan imej di bahagian hadapan, dengan CSS, anda menjimatkan ruang cakera dan mengelakkan masa pemprosesan di bahagian belakang, tetapi pilihan yang lebih baik adalah menggunakan satu set imej generik untuk semua akaun.
Alternatif lain ialah menjana lakaran kecil (dan perubahan lain, seperti menukar format, contoh: webp) secara automatik setiap kali pengguna mengemas kini imej profil utama mereka; ia menggunakan lebih sedikit ruang tetapi memastikan imej sebenar selamat dan memperibadikan pengalaman untuk setiap pengguna.
Mengeksploitasi pepijat dengan sambungan penyemak imbas
Untuk mengeksploitasi pepijat, saya mencipta skrip Javascript kecil dan menyepadukannya ke dalam sambungan untuk mengautomasikan proses menyahsekatnya setiap kali saya memasuki halaman.
Kelalaian kecil di pihak pembangun ini berlangsung kira-kira dua tahun. Ia kini telah diperbaiki jadi jika anda cuba mencari pepijat pada halaman temu janji utama, anda tidak akan menemuinya lagi, dan ini juga sebab utama saya memutuskan untuk menyiarkannya
Aplikasi telah mengubah suai kod untuk versi webnya, meninggalkan seluruh UI hampir utuh dan memilih untuk membuat lakaran kecil yang dikelirukan untuk setiap akaun, tetapi memprosesnya dari bahagian belakang, sehingga mustahil untuk mendapatkan imej sebenar. .
Adakah anda juga mengambil kesempatan daripada ini? Mata bonus jika anda tahu nama tapak web.
Atas ialah kandungan terperinci Saya mengambil kesempatan daripada ralat dalam kod apl dating. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Alat AI Hot

Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool
Gambar buka pakaian secara percuma

Clothoff.io
Penyingkiran pakaian AI

Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Artikel Panas

Alat panas

Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6
Alat pembangunan web visual

SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Topik panas











Mari kita cuba menyusun istilah di sini: "Penyedia Borang Statik." Anda membawa html anda

Pada permulaan projek baru, kompilasi SASS berlaku dalam sekejap mata. Ini terasa hebat, terutamanya apabila ia dipasangkan dengan BrowserSync, yang dimuat semula

Pada minggu ini, berita platform, Chrome memperkenalkan atribut baru untuk memuatkan, spesifikasi aksesibiliti untuk pemaju web, dan gerakan BBC

Ini saya melihat elemen HTML untuk kali pertama. Saya telah menyedarinya untuk seketika, tetapi Haven ' t mengambilnya untuk putaran lagi. Ia mempunyai cukup keren dan

Beli atau Membina adalah perdebatan klasik dalam teknologi. Membina barang sendiri mungkin berasa lebih murah kerana tidak ada item baris pada bil kad kredit anda, tetapi

Untuk sementara waktu, iTunes adalah anjing besar dalam podcasting, jadi jika anda mengaitkan "Langgan Podcast" untuk suka:

Ketua dokumen mungkin bukan bahagian paling glamor dari laman web, tetapi apa yang masuk ke dalamnya boleh dikatakan sama pentingnya dengan kejayaan laman web anda sebagai

Terdapat banyak platform analisis untuk membantu anda mengesan data pelawat dan penggunaan di laman web anda. Mungkin paling penting Google Analytics, yang digunakan secara meluas
