B 站 漏洞 可查询 IP 和设备精确到型号

十几年前 qq 空间就有，只是当时是上传到自己的空间，让来访者看。会显示自己所在城市天气预报，ip 等等

危害不是说泄露隐私，除了 ip ，ua 获取不到什么有用数据。
最大的问题是挂了张外链图，用户可以自定义图片，这图可以随时变成反动，黄赌毒之类的。

@LieEar 兄弟，你想多了，干技术的又不是决策者，yellow 只是一种拉流量的工具手段，效益好的时候不需要这东西，效益差的时候搞一搞也能挣点，快手不就是这么活下来的吗？所以你把问题归类于技术人员，恰恰找错方向了。

拿到 ip 跟 header 有啥用？

b 站是真的 top 里最菜的一个，搜索写的稀烂

@coderzhangsan 确实，海量的卖片小号在我们看来是垃圾，但是在 b 站看来也是新用户。

@epiphyllum 有对应的方法可以对应到用户，你可以手机端试一下

@TenProX
数据给 b 站 App 另说。 这种是其他用户发一张图拿到你信息，数据是给个人了。理论上登录 Token 都获取到

@moluyouwo 更新了介绍，总有人用得到，如果我有某方面的资源，这个东西绝对有用

@miyuki 这个会传出设备的具体型号和用户账户，原理差不多，危害性差距有点大

被卡巴以证书问题卡了：
事件: 检测到无效证书 SSL 连接
用户类型: 未定义
应用程序名称: chrome.exe
应用程序路径: C:\Program Files\Google\Chrome\Application
组件: 安全浏览
结果描述: 已阻止
对象名称: i0.hdslb.com.test.hack.com
原因: 无效的证书名。该名称未包括在允许名称列表中，或明确排除在该列表之外。

@epiphyllum 我认为你提供误导的内容误导了他人，使用 B 站客户端实际上有 mid 和设备具体型号，攻击者并非很难将泄露的信息关联到具体用户

@wtof 不要发和讨论帖技术上无关的内容，谢谢

这不是 10 年前就玩剩的吗，别人看不到的，只能看到自己的，以前贴吧全都带这种的回复尾巴的，还带动态炫酷图片呢

我只会放随机美女图

如果只是挂了外链图，现代的浏览器安全能力，最多就暴露 UA 和 IP ，不会泄露用户账户、token 、cookie 之类。
当然如果图片链接被动态地插入一些额外的参数，那就另论了。

@LieEar #15 不只是麦片的，擦边的账号也越来越多，还有很多电影动画都能传了，我感觉只是 B 站临死之前放松了审核

@DOLLOR 仅限“现代浏览器”，B 站客户端的 UA 是机器型号，header 里还有 mid

某知名网站是啥

@incubus 应该是小而美