☻Blog("Laziji")

System.out.print("辣子鸡的博客");

发表于 更新于 分类于

target=”_blank” 的安全问题

当我们在网站中引入外部链接的时候往往使用的是

1
<a href="" target="_blank"></a>

大家都喜欢target="_blank", 因为新页面打开不影响原来的页面
但是这个存在安全问题, 由target="_blank"打开的页面, 可以通过window.opener访问原来的窗口
例如:

1
window.opener.location = "http://..."

遍可以简单的将网页导航到其他网站, 这就存在很多的安全隐患了, 比如钓鱼
这种问题解决起来也很简单, 在链接中加入rel="noreferrer noopener"属性就可以了

1
<a href="" target="_blank" rel="noreferrer noopener"></a>

CSDN 中的 target=”_blank”

我查看了几个可以发布文章的平台, 例如掘金、思否、知乎 还有CSDN, 果不其然CSDN是唯一有这个问题的
CSDN总是慢一拍, 一个技术网站却总是显得那么不专业, 就像当初的数据库明文存储密码

CSDN 漏洞的利用

钓鱼

这是最先想到的, 如果有人仿做一个登录页面, 然后发布一片文章, 插入一条带有漏洞的链接, 当读者查看完, 返回时, 看到一个登录页面
读者可能会奇怪, 但是我相信还是会有很多人会中这个陷阱
输入密码后, 登录的钓鱼网站只需返回原来的页面即可, 因为Cookie的存在就好像真的登录了一样, 此时密码已经不知不觉泄露了

骚操作 自动关注

这里不得不再吐槽一下CSDN, 关注用户的api不仅简单, 而且是get post请求均可的, 这就给了我们很大的操作空间了
我们只需利用window.opener.location导航到关注api, 再返回回去即可, 读者在不知不觉中就进行了关注
一小段代码的例子

1
2
3
4
window.opener.location = "https://my.csdn.net/index.php/follow/do_follow?..."
setTimeout(()=>{
    window.opener.location = "https://blog.csdn.net/Dogfights/article/details/..."
},1000)

发表于 更新于 分类于

项目地址

https://github.com/GitHub-Laziji/lianliankan

简介

200 行Python 实现的qq连连看 辅助, 用于学习, 请不要拿去伤害玩家们…

使用环境

win7

win10测试了无法使用

使用方法

开始游戏后运行就行了, 再次提示, 请在练习模式中使用, 否则可能会被其他玩家举报

代码实现

主要思路就是利用pywin32获取连连看游戏句柄, 获取游戏界面的图片, 对方块进行切割, 对每个方块取几个点的颜色进行比对, 均相同则认为是同一个方块,
然后模拟鼠标去消就行了, 代码的最后一行是每次点击的间隔

1
time.sleep(random.randint(0,0)/1000)

如果是0的话就瞬间全消完了

效果图

1
2

0%