文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

记一次NFT平台的存储型XSS和IDOR漏洞挖掘过程

漏洞1:存储型XSS 与其他应用程序一样,它有一个个人资料部分,用户可以在其中上传个人资料图片/上传艺术作品/更新个人简介/电子邮件/添加 Instagram 或 Telegram 等社交链接 所以我做的最基本的步骤是将我的...被执行,这确认我们在nft 市场 复现步骤 1.使用钱包登录我的vulnerablemarketplace.com nft 帐户 2.然后导航到我的个人资料设置并将我的 Instagram 和 Twitter...我们能够使用我们自己的控制值修改受害者的电子邮件、Twitter、Instagram 链接 注意:有些人可能会有疑问,如果我们能够修改受害者的电子邮件,那么帐户就已经被接管了?...中,因此我们将制作有效负载来窃取该签名值 复现步骤 1.在 Burp 等代理工具中捕获更改个人资料信息的 POST 请求 2.修改此负载的 Instagram 和 Twitter 链接。...Instagram 或 Twitter 链接或用户访问受害者用户的个人资料,XSS 将被执行,用户的签名值将被泄露到我的服务器 现在您可以看到我们使用 XSS 窃取了受害者的签名。

78060

GitHub遭遇严重供应链“投毒”攻击

劫持 top.gg 账户 事实上,这些年黑客一直在使用各种战术发起攻击,包括劫持 GitHub 账户、分发恶意 Python 软件包、使用伪造的 Python 基础架构和社交工程等等。...Discord 上关于被黑账户的讨论 (图源:Checkmarx) 攻击者使用该账户对 Top.gg 的 python-sdk 版本库进行恶意提交,如添加对中毒版本 "colorama "的依赖,并存储其他恶意版本库...搜索与 Discord 相关的目录以解密和窃取 Discord 令牌,从而可能获得对帐户的未经授权的访问。 通过搜索 ZIP 格式的钱包文件并将其上传到攻击者的服务器,从各种加密货币钱包中窃取。...利用被盗的 Instagram 会话令牌通过 Instagram API 检索帐户详细信息。 捕获击键并保存它们,可能会暴露密码和敏感信息。此数据将上传到攻击者的服务器。...可见机器学习模型的存储库(如 Hugging Face)为威胁行为者提供了将恶意代码注入开发环境的机会,类似于开源存储库 npm 和 PyPI。

75910
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    纽约蹭饭手册:怎样利用Python和自动化脚本在纽约吃霸王餐?

    我收集了50个Instagram帐户,这些帐户发布了许多关于纽约的优质图片。我用开源软件编写了一个爬虫来下载这些帐户上传的帖子。除了下载文字内容外,还有图片和一堆元数据,如标题、点赞数和位置等。...我使用适合纽约市的任何图片的通用标题,标记了图片的Instagram帐户和原始来源,添加了三十个主题标签来提升帖子的曝光率。如果你继续查看帖子评论,你甚至还可以看到原始作者向我表示感谢。 ?...我编写了一个Python脚本随机抓取其中一张图片,并在完成抓取和清理过程后自动生成标题。我设置了一个定时任务:每天早上8点,下午2点和晚上7:30调取我的API,完成所有的发布操作。...在这一天中,我的帐户有条不紊地关注,取关,并为相关的用户和照片点赞,以使他们以同样的方式与我互动。...我写了一个Python脚本来查找这类页面并且让我的帐户能够自动向它们发送消息。该脚本采用两个参数,一个初始主题标签和一个要在类别标签中查找的字符串。

    2K30

    纽约蹭饭手册:怎样利用Python和自动化脚本在纽约吃霸王餐?

    我收集了50个Instagram帐户,这些帐户发布了许多关于纽约的优质图片。我用开源软件编写了一个爬虫来下载这些帐户上传的帖子。除了下载文字内容外,还有图片和一堆元数据,如标题、点赞数和位置等。...我使用适合纽约市的任何图片的通用标题,标记了图片的Instagram帐户和原始来源,添加了三十个主题标签来提升帖子的曝光率。如果你继续查看帖子评论,你甚至还可以看到原始作者向我表示感谢。 ?...我编写了一个Python脚本随机抓取其中一张图片,并在完成抓取和清理过程后自动生成标题。我设置了一个定时任务:每天早上8点,下午2点和晚上7:30调取我的API,完成所有的发布操作。...在这一天中,我的帐户有条不紊地关注,取关,并为相关的用户和照片点赞,以使他们以同样的方式与我互动。...我写了一个Python脚本来查找这类页面并且让我的帐户能够自动向它们发送消息。该脚本采用两个参数,一个初始主题标签和一个要在类别标签中查找的字符串。

    1.9K60

    使用Python对Instagram进行数据分析

    这篇文章将教会你如何使用Instagram作为数据的来源,以及如何将它作为你的项目的开发者。 关于API和工具 Instagram有一个官方的API,但它已经过时了,目前在你能用它做的事情非常有限。...因此,在这篇文章中,我将使用LevPasha的非官方Instagram API,它支持所有的主要功能,如follow,上传照片和视频等。它是用Python编写的。...安装 你可以使用pip来安装库: python-m pip install-e git+https://github.com/LevPasha/Instagram-API-python.git#egg=...我们可以使用Ipython.display模块查看图片,显示如下 ? ? 在笔记本中查看图像是非常有用的,我们稍后将使用这些函数来查看我们的结果,正如你将看到的那样。...我希望你学会如何使用Instagram的API,并知道能用它做什么。保持独创性的眼光,因为它还在发展中,将来你还可以做更多的事情。

    3.6K40

    Facebook首次揭秘:超过10亿用户使用的Instagram推荐算法是怎样炼成的?

    新智元报道 来源:Venturebeat 编辑:大明 【新智元导读】目前,每年约有5亿用户通过Instagram的自建推荐功能搜索和发现自己喜欢的内容,其背后的推荐引擎是怎样炼成的呢?...在目前Instagram大约10亿用户中,超过一半的人每月都通过Instagram Explore来搜索视频、图片、直播和各种文章。...可以预见,为这些用户构建服务基础的推荐引擎,需要负责整理上传到Instagram的数十亿条内容,这是个工程上的大难题,尤其是这些内容还是实时生成的。...工程师能够以“类似Python”的方式编写推荐算法,并补充了帐户嵌入组件,可以识别局部高度相似的配置文件,并将其作为帐户级信息的检索流程的一部分。 ?...上图:ig2vec预测账户内容相似性的功能演示 Ig2vec框架将用户与之交互的Instagram帐户视为句子中的单词序列,通知用户可能与之交互的模型预测。

    1.1K20

    这个假冒伪劣Instagram了解下?

    InstagramPosting.sol 接下来就是 sendHash (发送哈希值)函数,IPFS 文件系统在保存了用户上传的数据(如参数 _img 和 _text 所示,这里的数据是指用户的图片)...紧接着,使用 msg.sender 获取发送方的地址,将发送方设置为这些上传数据的所有者,最后分别将图片和图片名称的哈希值存储在变量 imgHash 和 textHash 中。...中当前正在使用的帐户。...但在上传图片之前,在 src 文件夹下的 App.vue 中添加一个控制台日志输出函数(console.log),以检查要在 IPFS 中上传的图片的哈希值。...IPFS 中获取数据 上面说到的用网络入口和图片的哈希值查看图片是一种实现起来比较简单的方法,但在实际使用中,这样的操作不够人性化。

    1.2K30

    Python Web 深度学习实用指南:第三部分

    在本章中,我们将介绍以下主题: 设置您的 GCP 帐户 在 GCP 上创建您的第一个项目 在 Python 中使用 Dialogflow API 在 Python 中使用 Cloud Vision API...要运行本章中的代码,您的系统上需要安装 Python 3.6+。 本章将介绍其他必要的安装。 设置您的 GCP 帐户 在继续使用 GCP 提供的 API 之前,您必须设置您的 GCP 帐户。...然后,我们将学习如何在 Python 中使用 Rekognition API 和 Alexa API。...您将必须提供要使用 AWS Rekognition API 进行名人识别测试的图像,如 Jupyter 的以下目录结构屏幕快照所示: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传...在 Python 代码中使用 Text Analytics API 本节将向您展示如何在自己的 Python 代码中使用 Text Analytics API。

    18.3K10

    Instagram的Explore智能推荐系统

    在这篇博客文章中,我们将分享 Explore 中的关键元素的详细概述,以及我们如何在 Instagram 上为人们提供个性化的内容。...开发 Explore 的基础构建模块 在我们着手建立一个推荐引擎来处理每天上传到 Instagram 上的大量照片和视频之前,我们开发了一些基本的工具来满足三个重要的需求。...工程师可以像 python 那样编写推荐算法,并在 c++中快速高效地执行。...种子账户通常只是 Instagram 上兴趣相似或相同的账户的一小部分。然后,我们使用帐户嵌入技术来识别类似于种子帐户的帐户。最后,根据这些帐户,我们可以找到这些帐户发布或参与的媒体。 ?...我们预测人们在每一种媒体上的行为,无论是积极的行为,如“喜欢”和“保存”,还是消极的行为,如“少看这样的帖子”。我们使用一个多任务多标签(MTML)神经网络来预测这些事件。

    3.3K31

    Instaloctrack:一款针对Instagram的强大OSINT公开资源情报工具

    工具运行机制 该工具基于Selenium的webdriver实现其功能,因此Instaloctrack才能够爬取整个目标Instagram配置文件来检索帐户的所有数据以及图片链接。...接下来,工具将会异步检索每个图片链接,检查它是否包含图片描述中的位置,如果存在位置数据,则检索该位置的数据以及时间戳。...注意:由于2018年Instagram不推荐使用其位置API,并且无法再获取图片的GPS坐标,我们只能检索位置的名称。...为了实现该功能,我们使用了Namingm的API,这个API使用了OpenStreetMap,能够帮助我们获取到GPS坐标数据。...tmp/output:/tmp/output instaloctrack -t -o /tmp/output 工具使用样例 下面的工具使用样例总,将输出某用户Instagram

    1.2K10

    如何使用Python对Instagram进行数据分析?

    Instagram是最大的图片分享社交媒体平台,每月活跃用户约五亿,每日有九千五百万的图片和视频被上传到Instagram。其数据规模巨大,具有很大的潜能。...API和工具简介 Instagram提供了官方API,但是这些API有些过时,并且当前所提供的功能也非常有限。因此在本文中,我使用了LevPasha提供的非Instagram官方API。...该API支持所有关键特性,例如点赞、加粉、上传图片和视频等。它使用Python编写,本文中我只关注数据端的操作。 我推荐使用Jupyter Notebook和IPython。...使用官方Python虽然没有问题,但是它不提供图片显示等特性。...我希望你已经学会了如何使用Instagram API,并具备了一些使用这些API可以做哪些事情的基本想法。敬请关注一下官方API,它们依然在开发中,未来你可以使用它们做更多的事情。

    3.9K70

    图解系统设计之Instagram

    怎么想、怎么做,全在乎自己「不断实践中寻找适合自己的大道」 0 简介 Instagram,分享带有字幕的照片和视频的免费社交应用。帖子可使用标签和地理标签进行组织,使其可搜索。...客户端请求上传照片,负载均衡器将请求传递给任何一个应用服务器,后者向数据库添加一个条目。...读请求多于写请求,并将内容上传到系统中需要时间。若分离读(上传)写服务,效率会更高。 由许多服务器操作的多个服务处理相关请求。读服 务执行为用户获取所需内容的任务,而写服务有助于将内容上传到系统。...因为值的存储大小通常限制在几兆字节内,所以当我们接近大小限制时,我们可以将时间轴数据存储在 blob 中,并将指向 blob 的链接放在键的值中。...持久性:拥有持久化存储,可维护数据的备份,因此任何上传的内容(照片和视频)都不会丢失。 一致性:使用了 blob 存储和数据库等存储来保持数据的全局一致性。

    1.3K10

    Instagram个性化推荐工程中三个关键技术是什么?

    每个月,有超过一半的 Instagram 社区会访问 Explore 推荐系统,查找感兴趣的图片、视频和 Stories。...工程师们可以用 Python 写推荐算法,并在 C++ 中快速而高效地执行。...通过应用 word2vec 中的相同技术,我们可以预测一个人在 Instagram 上所提供的会话中可能与之交互的帐户。...这些种子账户通常只是 Instagram 上类似或具有相同兴趣的账户的一小部分。我们使用帐户嵌入技术来确定类似于种子帐户的帐户。最后,基于这些帐户,我们可以找到他们发布过的或是曾经参与过的媒体。...也有不同的媒体类型(如照片、视频、Stories和直播),这就意味着我们可以使用类似的方案构建各种各样的来源。

    1.5K20

    拥有 10 亿月活跃用户的 Instagram 是怎么设计内容推荐系统的?

    据官方数据,超过一半的用户每月都会通过 Instagram Explore 来搜索视频、图片、直播和各种文章。那么,如何从亿级规模的实时推荐数据中选出最适合某个用户的媒体内容呢?...Explore 基础构建模块的开发 ---- 在构建处理 Instagram 上每天上传的大量照片和视频的推荐引擎时,我们需要满足三个重要需求: 大规模快速实验的能力; 获得用户兴趣范围内的更多信息;...IGQL 是经过静态验证的高级语言,工程师能够以 Python 的方式来编写推荐算法,并在 C++中快速而高效地运行它。除此之外,它还具有可扩展性和易用性。...如果一个人在同一个会话中与一系列帐户交互,那么与来自不同 Instagram 帐户范围的随机帐户序列相比,它更有可能是局部一致的。这有助于我们识别出与此相关的账户。...我们定义了两个帐户之间的距离度量——嵌入训练中使用的同一个帐户——通常是余弦距离或点积。基于此,我们做了一个 KNN 查找,以找到嵌入中任何帐户的局部相似帐户。

    1.5K31

    DevOps工具介绍连载(20)——Google App Engine

    Sandbox 将您的应用程序隔离在它自己的安全可靠环境中,该环境与网络服务器的硬件、操作系统和物理位置无关。...只要这些库是完全使用 Python 实现并且不需要任何不受支持的标准库模块,您就可以使用您的应用程序上传其他第三方库。 有关 Python 运行时环境的详细信息,请参阅 Python 运行时环境。...使用该 API,您可以对 JPEG 和 PNG 格式的图片进行大小调整、剪切、旋转和翻转。有关图片操作服务的详细信息,请参阅图片 API 参考。...该工具会提示您提供 Google 帐户电子邮件地址和密码。 构建已在 App Engine 上运行的应用程序的新主要发行版时,可以将新发行版作为新版本上传。...该环境包括Python标准库。当然,调用那些违反沙箱限制的库方法(如打开socket或写文件)将不会成功。为了方便起见,几个核心特性不被支持的标准库中的模块被禁用了。那些引入它们的代码会出错。

    3.9K10

    AugLy: Facebook Research新开源多模态数据增强库,鲁棒模型好帮手。

    地址: https://github.com/facebookresearch/AugLy 研究内容: 我们新开源了 Python 库 AugLy,目的是帮助 AI 研究人员使用数据增强来评估和改进机器学习模型的鲁棒性...它提供了100多个数据增强功能,专注于互联网上的真人在 Facebook 和 Instagram 等平台上对图片和视频所做的事情。例如,这包括了覆盖文本、表情符号和截屏转换。...例如,我们的一个扩展功能可以将图片或视频叠加到社交媒体界面上,使其看起来像是用户在 Facebook 这样的社交网络上截取的图片或视频,然后重新分享。...为什么这很重要: 数据增强对于确保 AI 模型的鲁棒性至关重要。如果我们能够教会我们的模型对数据的不重要属性的扰动保持稳健,模型将学会关注特定用例中数据的重要属性。...通过使用 AugLy 数据增强 AI 模型,当有人上传了已知的侵权内容,如歌曲或视频时,他们能够识别出来。 利用 AugLy 训练模型检测近似复制内容,意味着我们可以主动防止用户上传已知的侵权内容。

    1.3K51

    在Jupyter Notebook中显示AI生成的图像

    它是一个Web工具,您可以在其中创建和共享包含实时Python代码、方程式、视觉效果和文本的文件。这些文件称为notebook,将Python代码与丰富的文本元素(如段落、图片和表格)混合在一起。...您需要什么: 您需要进行以下设置: 在您的机器上安装Python 注册Cloudinary免费帐户 OpenAI API密钥。...注册OpenAI帐户 使用Python包管理器pip安装Jupyter 项目设置 对于这个项目,创建一个名为openai_proj的文件夹,并安装这些库: pip3 install openai python-dotenv...设置配置参数 为配置设置的值将从您的Cloudinary密钥的.env中读取。 使用DALL-E 3生成原始图像 生成图像时,我们将允许用户使用Python的input函数输入他们想要的提示。...来自OpenAI API的生成的输出图像 Cloudinary中上传的AI生成的图像 项目的完整源代码,请使用这个gist或Google Colab中的这个notebook。 结论 已经有灵感了吗?

    7.4K10

    如何使用Scylla进行OSINT信息收集

    /Scylla cd Scylla sudo python3 -m pip install -r requirments.txt python3 scylla.py --help 工具使用 下列命令将返回指定...Instagram和Twitter账户的账户信息: python3 scylla.py --instagram davesmith --twitter davesmith 下列命令将返回指定用户名相关的所有社交媒体账号信息...注意,在使用空格搜索查询时,请确保在引号中添加等号,后跟查询语句。...Shodan可以搜索到的所有Apache服务器的IP地址,这里需要使用到API密钥: python3 scylla.py -s apache 下列命令将导出互联网上所有开放的网络摄像头的IP地址和端口...如果要继续生成API密钥,请访问https://www.numverify.com,并在创建帐户后选择免费方案。此时,需要打开scylla.py文件,并替换其中的原始API密钥即可。

    1.3K20

    Facebook 20 亿用户数据均可能泄露,扎克伯格仍不打算辞职

    值得一提的是,这个选项是默认“public(公开)”;其次,虽然用户可以将个人资料中的电话号码设置为“only me(仅对自己看见),但如果用户设置能够“通过手机号码查找到我”,那么这个“only me...从今天开始,使用该API的app将不再能够访问其他人的出席信息或发布在留言板上的活动信息。而且未来将只有Facebook批准的、同意严格要求的app才可以使用Events API。...但是,我们希望确保更好地保护群组中的成员和对话信息。未来,使用Groups API的所有第三方应用程序都需要Facebook和管理员的批准,以确保他们不损害群组。应用程序将不再能够访问组内成员列表。...Instagram Platform API:我们宣布今天起弃用Instagram Platform API。...搜索和帐户恢复:此前,用户可以将其他人的电话号码或电子邮件地址输入到Facebook搜索中以帮助找到他们。这对于在不知道全名或相同名字的人太多时,找到你的朋友特别有用。

    1.5K40

    Facebook陷「老龄化危机」!用户年龄40+,被年轻人无情抛弃

    预计 20 至 30 岁的年轻用户数量在同一时间段内将下降 4%。 更糟糕的是,用户越年轻,经常使用Facebook的平均次数越少。...为了解决用户流失问题,Facebook开始积极吸引年轻人、青少年使用旗下的图片视频分享应用Instagram,还组建专门的青年团队来迎合青少年的口味。...Facebook还开始专门针对年轻人调整新闻推送算法,向用户展示他们未选择关注的帐户中的「不相关内容」。 更多新功能包括让年轻人设置特定于某些 Facebook 群组可见的不同个人资料。...据统计,Instagram上 61% 的青少年新帐户选择在初始设置时将个人资料设为「私密」,而且,Instagram 员工希望鼓励更多年轻用户将其帐户设为「私密」。...这让用户分享内容的压力大大降低了,Instagram还鼓励使用多个帐户。 但年轻人对 Facebook 的使用一直在持续下降。

    63610
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券