B站最新最热漏勺,客户端0秒空气视频
我搁那看视频呢,然后UP主念结束语的时候看到下面推荐里面有 好 康 的,于是我就点进去看。很简单对吧,但是这时候诞生了一个巧合。恰好在这个我点击的时间区间内,也就是这个视频播放完然后客户端的代码行为准备去切下一个视频的时候恰好被打断去我点击的另一个视频,然后引发播放器状态丢失问题。客户端版本8.83.0(release-b23203277),也就是当前市场包最新版本。管你听没听懂,看就完了: 这里我是出现了bug才录制的,毕竟谁都不知道这样操作刚好无意中测出来一个bug啊。可以看到效果是黑屏但有音频,画面完全看不到,进度条也出不来。 我开始回想刚才的操作,大概是这样: 在合集里面当前视频播放完然后即将切换下一个视频的时候点击推荐里的视频,会让跳过去的视频有音频没画面。甚至进度条都点不出来 那么这就简单了,有复现方法了就要可以去复现了……吗?错啦没那么简单,这玩意很吃操作的。因为需要恰好视频播放完又恰好播放控制相关代码即将切换然后又恰好在这个时候点击让跳转打断这个状态切换,我的天这buff叠满了。(我怎么把运气给浪费在这上面了)向来严谨的我肯定想去尝试一把了,当然我一试...
B站新漏:工作列表里暗藏的缺字漏字问题
最近我闲的无聊,去哔哩哔哩客户端里的“加入我们”看了一圈,想看看中厂招工都是什么样子的。当然我比较适合技术类的岗位,首当其冲的去看这个了肯定。不看不知道,一看全是漏。目标链接:https://www.bilibili.com/html/join-list.html让我们开始吧 我好奇这个地方没人读一遍的吗,有没有问题也没人看出来(或者看出来了却一直没人改)。不是哥们,这也太离谱了吧。进行快速迭(代) 和 善于团队合(作) 你是真的一个字也不多打啊,“不影响理解”被你给玩明白了。 这可不是我改的哈,你们自己去看也是如此(也不知道啥时候修)一开始我怀疑是我自己设备问题导致显示不全,再者是像之前腾讯那样样式问题倒是看不见存在。(腾讯的版本:https://www.b23.kim/details/2692ea021e57.html)于是我就按下F12看究竟是怎么回事:没错,这真的就是纯物理层面的缺字,不是样式问题,不是显示问题,也不是设备问题。那可就太有意思了…… 当然,我估计肯定不止这一个地方漏的。既然被我引出了这个头了,那我不得好好扒一扒。看看别的岗位的详情页是不是也缺东西。哈哈果...
所以我搞了b.b23.kim
不知道你有没有这么一个疑问:bilibili里面到底几个l几个i?有时候就连我也分不清这个,只能打这个词的时候默念哔——哩——哔——哩。虽然这一定程度上解决了可能会打错的问题,但是如果有时候打的急的时候因为里面很多重复字母,所以打快了有时候还是会错误打成bilibill或者是bililbili之类的情况。而且最关键的是,太麻烦了。看起来复杂……尤其是在输入域名bilibili.com的时候,打错一个字母都不行,重打浪费时间(然后你就会忘记打开B站要做什么) 那么有没有什么方法解决这个输入痛点呢?有的兄弟,有的。 得益于我的b23.kim天生自带B站特色元素,所以我可以很轻松的开一个二级来专门跳转B站用。所以,b.b23.kim就应运而生了,你可以直接在浏览器内输入这一串来快速到达B站。记忆成本和难度比B站官方的域名低——至少能看出来自己输入的什么。一个B(子域名),简洁有力。二个B(前缀b23),辅助记忆。同时搭配上B站的2233娘,于是就有了b.b23。也就是说你甚至只需要记一个kim就行了,也总比一堆l一堆i混在一起要可视的多吧。还不错。 目前这个域名只是跳转了B站主站,任意...
B站船新漏勺,神秘小链接让客户端拒绝服务
OK啊,今天给大家带来哔哩哔哩最新最热漏……bug。其实也不算新了,早就有了。大概这个漏洞是我两年前左右挖出来的,只不过是没什么人知道和滥用。大概也就跟朋友互相开玩笑拿这玩意玩过而已。那么我为什么要提起来呢?原因是都2026年了B站还没修这个bug。况且之前我在BSRC提了没人理我(悲)客户端版本:8.83.0 (release-b23203277),也就是我写稿时候的市场包最新版本。 首先来给大家看一眼最终效果:首先,它最明显的攻击路径是让你正常用户在正常情况下进入了不该进入的页面,从而导致操作被软锁。最终引发客户端拒绝服务。看背景,它是发生在游戏中心里的。因为它是在游戏中心下面的弹框。 实际上,看似在游戏中心里,实则是从外部跳转过去的。而跳转的位置可以是任意。这让危害进一步提升:如果只是朋友间开玩笑那还好说,问题是这个东西它 能 被 滥 用!也就是说它能够被用于炸任何人,只要对方点了攻击者指定构造的URL。这跟“你的账号已被封禁”又有什么区别呢?但它的影响却又没有那么严重,因为只是影响当前实例的状态。也就是说用户只需要划后台给它硬重启下就能解决这个问题。可是那些喜欢好奇点着玩...
什么?清华大学的某游戏社团的QQ群被黑客给嘿啦?!
网络安全这块。最近的时候,我在某个嘿壳群闲聊。然后就有人发了个不知道从哪搞来的一键加群链接。我一看,这个链接之前我用朋友资质找腾讯申请过。只不过后面被朋友发的多了腾讯以非法滥用为由给我回收了。刚好,那个群的名字是打洲社-清华大学。“清华大学”?一开始我估计又是哪个腾讯内邀的达人创建的名字拿来装B或者引流的吧。于是我和其他嘿壳们一起去玩这个链接了,就这样不知不觉中开始传播了。任何人只需要在QQ里访问这个链接就会直接进群,甚至能直接无视“不允许任何人加群”限制(专用接口) 直到今天……有人在群里搞事,也不知道链接是传播到恶俗组织里了还是怎么。,总之部分聊天记录如下: 就这样互联网漏勺氛围持续了没多久,就有一位群员艾特了群管理:于是我就被踢了,同时他们打开了不允许任何人加群。但是这时候他们还没意识到事情的严重性……原本到这里就应该结束了,可是最特么草台班子的时刻来了(你猜猜我们是怎么加的群):没错,我又加回去了。实际上我加了那个群几乎没怎么看过,嘿壳群里聊天的时候他们提了下这个群的动向我才知道被踢的。那我肯定好奇里面发生了什么啊,自然得进去看一下。话虽如此,那个一键加群链接是没法无视...
我是这样申请并接入QQ登录的
跟腾讯客服扯了两天,终于成功通过了QQ登录的接入权限。同时我也算是把所有坑都踩了一遍,今天来一次讲清。 注册开发者首先去 https://q.qq.com/#/ 登录自己的QQ号,然后走注册流程。注册完成后你就成为了QQ开放平台的开发者了,然后去新建一个小程序。新建小程序的时候里面也会让你提供开发者信息,提交完成后会进行人工审核。需要的信息比较多,有的甚至需要住址。好在申请一次后如果通过就不用管了。提审以后在互联会同步开发者信息,这样你就完成了注册这一步。 为什么不直接在互联注册?因为互联带到的是 https://open.tencent.com/ 这个“腾讯开放平台”总入口,你也依然需要在“QQ开放平台”注册并验证开发者信息。当然腾讯这个后台太多了,感觉有点杂。可能还有其他的办法能注册上,反正我是这样过来的。 创建网站应用重点来了,当你完成开发者信息提交并审核通过以后,你就可以创建应用了。当然应用资料的审核也是人工的,所以按照审核规范肯定是少不了坑点的。 基本信息:你需要准备一个应用名称、应用图标和应用介绍。应用名称是你希望以用户登录的时候在授权页看到的名字,当然因为我的域名就...
三级域名?二级域名?这些区别到底在哪,如何区分
很久以前,我看到一个评论区对域名的级数吵的不可开交。有人认为这是三级域名,也有人认为这是二级域名。双方各执一词,始终坚信自己是对的,而对方是错的(评论区吵架现状)。而原视频讲的是一个免费域名分发的好像是(具体我也忘了,我大概在三年前看到的那个视频) 因为突然想起来这个,所以我决定单独新开一篇文章来讲这个事。“三级域名”和“二级域名”到底应该如何区分。实际上这个还真难分对错,因为参考系不同所以在不同的角度下有不同的答案。 举个例子,假如lhy.b23.kim这个域名(其实真的存在,我分发给我朋友用的)。如果按“三级域名”的标准解读:1.kim2.b233.lhy正好,从后缀开始从右往左数,确实是三级。那么这个角度是相对于注册局而言的。ICANN管理顶级,把不同类型的顶级域分配给不同的注册局。然后由用户/企业挑选一个顶级来注册出新的一级,注册完成后在自己的域(例如b23.kim)下进一步管理子级的创建和分发使用。这是一种技术严谨的观察角度。在顶部第一级的也被称为“顶级域名”,也就是一级域名。一级就是顶级,因为没有在它们之上的域了所以是顶级。(学新闻学的会把这里的“顶级”当形容词来用,...
Artalk强行兼容非标准OAuth接口
众所周知,Artalk支持标准的OAuth接口的社交登录方式。但是有些奇怪的SSO提供的接口可能不是标准的OAuth,甚至Artalk和提供SSO的软件都不支持修改自己读取的路径或写入的路径。(点名Casdoor)灵感来源:https://blog.liushen.fun/posts/8624756e/ 登录的一般过程本文将以Casdoor作为例子,实际根据相关接口情况思路通用。在此之前我们需要了解Artalk的OAuth是如何验证的:第一步首先你点击了“登录”按钮,然后选择了OAuth登录方式。这时候Artalk会跳转配置文件的Domain字段/authorize(此时查询参数携带client_id、redirect_uri、response_type、scope、state字段)这个目标登录页面,交由目标OAuth服务(Casdoor)来给用户提供服务。然后你在这个登录页面选择了 使用Github登录 ,跳转了Github官方的验证页。验证完成后会跳转到Github后台配置的回调Casdoor后端域名/callback交给Casdoor来验证和处理GitHub验证完成后的他们...
有序只是世界的偶然,无序才是世界本身
刚才看到一个非常壮观的视频,里面有个评论非常深入人心:有序只是世界的偶然,无序是世界的本身。这个观点是所有系统的本质。或者说,整个宇宙就是一个庞大的系统。 在宇宙中,每一个天体都沿着自己固定的轨道运行,这是有序。那么凡事都会有至少一个“例外”,举一个夸张的例子吧:如果突然飞过来一个很大的石头把这个天体砸了,而且刚好使它脱离了原先的轨道呢?我知道这个例子看起来很夸张,但在无限的时间尺度下这几乎是必然的。因为你也说不清宇宙环境最终会演化成什么样,在“无限”这个概念下,空间无限大,时间无限长,情况无限多。这样来看它原先“有序”的样子只是在这个过程里偶然发生的。在这种情况下,“有序”这个概念就是“只缘身在此山中”了。从宏观角度来看,世界是无序的。 在计算机世界里,每一台电脑都有序地执行预定的任务,这叫有序。但是计算机的世界本质上是逻辑的世界,是逻辑就会存在疏漏。我们一般管它叫“业务逻辑漏洞”,换句话说就是“出bug了”。最终就会归于这种无序的状态,因为它引入了例外这一个打破原有秩序的东西。最终人们通过代码补丁避免无序性,回归原有“有序”的状态。这样来看甚至就连“秩序”本身都是无序...
开源统一身份认证平台Casdoor的安装与部署
Casdoor 是一个开源的统一身份认证平台,定位类似于“通行证中心”。通过标准化的协议和接口,把分散在不同系统中的用户认证集中起来管理,让登录这件事变得更简单。——清羽飞扬 下载、配置文件与安装这个是它的官方文档:https://www.casdoor.org/zh/docs/overview (目前汉化还不完全,而且还有很多不准确的机翻)可以看到它提供了三种安装方式:1.二进制安装包,从Github Release下载:https://github.com/casdoor/casdoor/releases2.Docker容器镜像:https://hub.docker.com/r/casbin/casdoor3.K8s Helm:https://www.casdoor.org/zh/docs/basic/try-with-helm 拉取镜像本文将采用Docker容器的方式来安装,配合宝塔面板。依旧是1panel镜像。下载镜像: 1docker pull docker.1panel.live/casbin/casdoor 下载完成后保留备用。 数据目录设置与数据库配置下一步,...