在使用Tinder 風格的約會應用程式時,其中一個應用程式在相互點讚後讓相關人員建立聯繫,我注意到,為了宣傳他們的高級計劃,他們使用模糊的圖片向您介紹在您的個人資料上按下「讚」按鈕的人。
經過幾次配對後,我注意到模糊的圖片屬於真實帳戶,也就是說,它們不是一組通用圖像或占位符。
應用於攝影的模糊效果範例
這聽起來太明顯了,所以我打開瀏覽器的開發者控制台並轉到 CSS 程式碼來檢查我的懷疑。他們不可能犯這麼簡單的錯誤——我想——他們用一個簡單的 CSS filter:blur.
來保護照片的身份
.hidden-image {
filter: blur(4px);
}
實際圖像由該應用程式的 CDN 提供,然後應用濾鏡來隱藏它們,因此要找出誰喜歡您,您只需刪除過濾器即可。
不幸的是,不可能從圖片或 URL 結構、API 呼叫或任何其他給定中獲取任何其他資料;除了個人資料圖片之外,無法存取姓名、個人資料或任何其他資訊。
當然這是一個架構錯誤,確實,在前端隱藏圖像非常容易,使用CSS,您可以節省磁碟空間並避免後端的處理時間,但更好的選擇是使用一組適用於所有帳戶的通用圖像。
另一種選擇是每次用戶更新其主要個人資料圖像時自動生成縮圖(以及其他更改,例如更改格式,例如:webp);它會消耗更多空間,但可以保證真實圖像的安全並為每個用戶提供個人化的體驗。
為了利用該錯誤,我創建了一個小的 Javascript 腳本並將其整合到擴充功能中,以便在每次進入頁面時自動執行解鎖它們的過程。
開發人員的這一小疏忽持續了大約兩年。現在它已經被修復,所以如果你嘗試在主要約會頁面上搜尋該錯誤,你將不再找到它,這也是我決定發布有關它的主要原因
該應用程式修改了其網頁版本的程式碼,使UI 的其餘部分幾乎完好無損,並選擇為每個帳戶創建一個混淆的縮圖,但從後端對其進行處理,因此完全不可能獲得真實影像.
你也利用了這一點嗎?如果您知道網站名稱,即可獲得獎勵積分。
以上是我利用了約會應用程式程式碼中的錯誤的詳細內容。更多資訊請關注PHP中文網其他相關文章!
