我利用了約會應用程式程式碼中的錯誤

在使用Tinder 風格的約會應用程式時，其中一個應用程式在相互點讚後讓相關人員建立聯繫，我注意到，為了宣傳他們的高級計劃，他們使用模糊的圖片向您介紹在您的個人資料上按下「讚」按鈕的人。

經過幾次配對後，我注意到模糊的圖片屬於真實帳戶，也就是說，它們不是一組通用圖像或占位符。

應用於攝影的模糊效果範例

這聽起來太明顯了，所以我打開瀏覽器的開發者控制台並轉到 CSS 程式碼來檢查我的懷疑。他們不可能犯這麼簡單的錯誤——我想——他們用一個簡單的 CSS filter:blur.
來保護照片的身份

.hidden-image {
    filter: blur(4px);
}

這個約會應用程式的圖像處理。

實際圖像由該應用程式的 CDN 提供，然後應用濾鏡來隱藏它們，因此要找出誰喜歡您，您只需刪除過濾器即可。

不幸的是，不可能從圖片或 URL 結構、API 呼叫或任何其他給定中獲取任何其他資料；除了個人資料圖片之外，無法存取姓名、個人資料或任何其他資訊。

如何在約會應用程式中隱藏圖像？

當然這是一個架構錯誤，確實，在前端隱藏圖像非常容易，使用CSS，您可以節省磁碟空間並避免後端的處理時間，但更好的選擇是使用一組適用於所有帳戶的通用圖像。

另一種選擇是每次用戶更新其主要個人資料圖像時自動生成縮圖（以及其他更改，例如更改格式，例如：webp）；它會消耗更多空間，但可以保證真實圖像的安全並為每個用戶提供個人化的體驗。

使用瀏覽器擴充功能來利用該錯誤

為了利用該錯誤，我創建了一個小的 Javascript 腳本並將其整合到擴充功能中，以便在每次進入頁面時自動執行解鎖它們的過程。

開發人員的這一小疏忽持續了大約兩年。現在它已經被修復，所以如果你嘗試在主要約會頁面上搜尋該錯誤，你將不再找到它，這也是我決定發布有關它的主要原因

該應用程式修改了其網頁版本的程式碼，使UI 的其餘部分幾乎完好無損，並選擇為每個帳戶創建一個混淆的縮圖，但從後端對其進行處理，因此完全不可能獲得真實影像.

你也利用了這一點嗎？如果您知道網站名稱，即可獲得獎勵積分。

以上是我利用了約會應用程式程式碼中的錯誤的詳細內容。更多資訊請關注PHP中文網其他相關文章！