拼多多是怎么做到分享的助力链接域名不是自己的呢?
xiaodongxier · xiaodongxier · 2022-10-17 17:55:16 +08:00 · 30598 次点击这是一个创建于 750 天前的主题,其中的信息可能已经有所发展或是发生改变。
经常收到朋友发的拼多多助力,无意间发现一个问题,就是拼多多是怎么做到分享的助力链接域名不是自己的呢?
1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce
比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce
比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
 |
1
BigBai 2022-10-17 17:59:49 +08:00 via Android
多多很厉害,这么不讲道理的吗
|
 |
2
huohei 2022-10-17 18:08:50 +08:00
第一个重定向了,第二个看不到
|
 |
3
Maboroshii 2022-10-17 18:08:53 +08:00
是不是收买了 CDN
|
 |
4
Exdui 2022-10-17 18:10:16 +08:00  26
.只需要上传一张图片,引导用户复制链接、打开拼多多
.任何可以上传图片的图床,都可以被他拿去当成口令(链接=口令) .App 取用户的复制链接,根据链接找找是不是口令,是的话就打开对应页面 微信封的话,是封这些图床地址 /服务,跟拼多多彻底无关联。 |
 |
5
jenlors 2022-10-17 18:10:24 +08:00 via iPhone
这也太离谱了
|
 |
6
xiaodongxier OP @huohei 第 2 个直接点是 403 ,但是复制链接到输入框回车能正常访问
|
 |
7
totoro52 2022-10-17 18:11:11 +08:00 1
这流氓到底了
|
 |
8
7zlid 2022-10-17 18:12:41 +08:00 via Android 8
总能从作恶中了解到技术到底有多么先进
工程实现有多么厉害 |
 |
9
brader 2022-10-17 18:14:52 +08:00
@Exdui 哈哈哈,拼夕夕这个操作秀啊,到时候因为用户举报或者微信封禁,等高德和联通发现这个情况的时候,那就好玩了呀,又有瓜吃了,你说高德和联通会不会告拼夕夕,哈哈哈
|
|
10
huohei 2022-10-17 18:17:26 +08:00 3
@xiaodongxier 个人想法:第一个是拼多多滥用了高德的短链接,第二个应该是滥用了联通的图床?
|
 |
11
edis0n0 2022-10-17 18:25:09 +08:00 4
隔壁 loc 论坛的用户经常滥用这些大厂图床、文件床做灰*产站,估计入职 pd*d 了?
|
 |
12
renmu 2022-10-17 18:32:54 +08:00 via Android 1
微信逼得
|
 |
13
sadfQED2 2022-10-17 19:09:35 +08:00 via Android 2
#4
大家说说这操作和 CSDN 关注公众号获取验证码哪个更牛逼一点 |
 |
14
Pythondr 2022-10-17 19:10:42 +08:00
我草,这牛逼了。这属于灰产吧。
|
 |
15
Danswerme 2022-10-17 19:13:17 +08:00 13
太秀了,后台就是硬,公然玩灰产。
|
 |
16
amlee 2022-10-17 19:13:34 +08:00
玩的真花
|
 |
17
docx 2022-10-17 19:27:39 +08:00 via iPhone
这是多多 APP 直接生成的?还是推广者个人行为?
|
 |
19
Les1ie 2022-10-17 19:56:17 +08:00 3
https://u.163.com/a/7rGh2Zguj
还有 163 的短链接。上个月家里人说有人给他发了个拼多多助力的链接,不知道是不是诈骗的。我打开一看源站是网易的,重定向到了腾讯云的对象存储落地,我找了很久也没找到网易哪里提供了生成这样的短 url 的途径。 我感觉这是黑灰产几乎一样的推广套路,利用大厂的开放重定向,只是最后的落地的页面不是菠菜类的诈骗,是砍一刀了。 ``` curl https://u.163.com/a/7rGh2Zguj -I --http1.1 HTTP/1.1 302 Server: nginx Date: Mon, 17 Oct 2022 11:53:57 GMT Connection: keep-alive Location: https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com X-Cache: from ngx70-194.163.com ``` 快照: https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/ |
 |
20
infinityv 2022-10-17 20:00:34 +08:00 via iPhone
上次还见到过用知乎的跳转的…
|
 |
21
duzhuo 2022-10-17 20:03:26 +08:00 via Android
牛。。。。
|
 |
22
Seulgi 2022-10-17 20:39:04 +08:00 1
先生成引导引导用户复制链接的图片传到各云厂商的 oss, 链接上关联上一个分享 token. 再把这个 oss 链接给到各短链服务商生成短链, 给到用户分享.
那这样看, pdd 有一个 oss 聚合平台, 有一个短链聚合平台, 自己不做短链, 直接聚合世面的短链就行了? |
 |
23
fackVL 2022-10-17 20:42:02 +08:00 via iPhone
乱世出英雄,我以前做淘客封链接封的厉害时也这么搞过
|
 |
24
lmmortal 2022-10-17 20:46:59 +08:00 1
下午刚帮人助力了一下,连接是华为 vmall 商城的域名,点进去是阿里云的网址,复制链接打开拼多多就助力了,pdd 玩的可真花
|
 |
25
q409195961 2022-10-17 20:59:10 +08:00
别人家的链接
相当于他的口令 再用别人的图传 API 传图片生成短连接吗? 这操作真骚 |
 |
26
imldy 2022-10-17 21:00:05 +08:00 via Android
没想到大厂也敢这么玩,没下限
|
 |
27
zxsa 2022-10-17 21:01:51 +08:00
pdd 真会玩
|
 |
28
luhe 2022-10-17 21:03:54 +08:00 74
虽然很缺德很过分,但是一想到是张小龙他妈逼的,又觉得很合理了...
|
 |
29
wbrobot 2022-10-17 21:08:56 +08:00 1
几天前见过利用腾讯文档...文档里面插了个链接....pdd 这执行力谁敢信...
|
 |
31
crab 2022-10-17 21:29:24 +08:00
做这个的程序员最后不会背锅吧。
|
 |
32
snw 2022-10-17 21:41:17 +08:00 via Android
有些不明白,如果是作为 token 要复制后打开 pdd 才能用,为什么不直接弄个普通链接就好,而一定要用短链接呢?
|
 |
34
lambdaq 2022-10-17 21:50:26 +08:00
长见识了。。。。
|
 |
36
1423 2022-10-17 21:51:19 +08:00 2
微信的消息预览掩盖了自由世界的“域名”,所以消息发送和接收方一般不注意域名
|
 |
37
shika 2022-10-17 22:24:04 +08:00 via Android
还有这种骚操作,我艹
|
 |
39
LengthMin 2022-10-17 23:29:42 +08:00
真牛逼
|
 |
41
aqqwiyth 2022-10-17 23:43:31 +08:00
有点没下限, 蹲个坑 看后续
|
 |
42
yuzo555 2022-10-17 23:44:53 +08:00
首先需要确认这是官方行为还是刷佣的淘宝客干的。
不太用拼多多,楼主说的这种链接是从你普通非技术的朋友那里发来的,并且是为非技术的朋友本人助力的吗? 如果是,那么就可以确定是拼多多的官方行为 |
 |
43
littlewing 2022-10-17 23:52:32 +08:00
还有这种骚操作
|
 |
44
Zzdex 2022-10-17 23:58:27 +08:00 via iPhone
nb
|
 |
45
seakingii 2022-10-18 00:00:21 +08:00 1
微信和 PDD 互秀下限
|
 |
46
tanrunhao 2022-10-18 00:03:17 +08:00
能开源不, 有朋友需要。
|
 |
47
fkdtz 2022-10-18 00:15:12 +08:00
但是各家短链服务、图床不是都要收费的吗?这不是成本吗
|
 |
48
PqZS58MLPBHFpEqm 2022-10-18 00:21:21 +08:00
为什么第二个链接直接打开是 403 ,但复制粘贴又能访问?啥原理?我蒙了
|
 |
49
jim9606 2022-10-18 00:22:44 +08:00
看链接的内容没看出直接关联。
我想到的方案是利用 URL 的最后一段,用特殊方法编码跟踪 ID ,客户端通过剪贴板得到 URL 后尝试解码出跟踪 ID 。这样即使整个 URL 是无效的也不影响分享,如果无法控制白名单地址显示的内容就最好是构造成非法地址避免意外跳转。 不过感觉这个方案似乎没有比淘口令那种好多少。 |
 |
50
cskeleton 2022-10-18 00:30:58 +08:00
@edis0n0 #11 也有可能是他们人逛 loc 看到了吧。之前在 loc 还是哪见过 gov cn 的图床,太会玩了
|
 |
51
Fucter 2022-10-18 00:45:43 +08:00 via Android
法外之地拼多多,反正也没人管,也没规定
|
 |
52
daimaosix 2022-10-18 01:03:25 +08:00 10
@PqZS58MLPBHFpEqm 设置了 Referer 白名单,但又允许了空 Referer 访问,就这原理。从 V2 打开 Referer 是 v2ex.com ,不在白名单内所以是 403 ,你复制粘贴后是空 Referer 访问,如果允许空 Referer 访问所以就可以打开了,也不用复制粘贴重新打开,你在地址栏敲下回车就行了。
|
 |
53
qeqv 2022-10-18 01:07:47 +08:00
@PqZS58MLPBHFpEqm 可能是 Referer Header
|
|
54
qeqv 2022-10-18 01:09:44 +08:00
不喜欢拼多多,但拼多多就好像淘宝京东的一杆尺子
|
 |
55
Knuth 2022-10-18 01:19:04 +08:00 via iPhone
第二个好牛逼,怎么实现的
|
 |
56
dqzcwxb 2022-10-18 01:59:30 +08:00 1
用图床传推广图,推广图链接到 openinstall 这种无码邀请提供商然后跳转出微信下载 app,全程不与自家 app 或者域名关联完全封不掉
提供一个技术关键字可能跟这个不太相关,微信落地页域名防封 |
 |
57
nyxsonsleep 2022-10-18 02:54:23 +08:00
@sadfQED2 csdn 可以获取其他公众号验证码?
|
 |
58
lopda 2022-10-18 08:19:17 +08:00
微 多 大 战
|
 |
59
zxcslove 2022-10-18 08:49:31 +08:00
都是小而美逼的
|
 |
60
pytth 2022-10-18 08:53:22 +08:00 via iPhone
这应该是 XSS ,拼多多把他们的 html 传到其他站,然后修改 dom 显示自己的内容,将其他站作为入口域名,将 oss 等 cdn 作为落地页域名。
|
 |
61
LxnChan 2022-10-18 08:54:20 +08:00
滥用其他人的服务然后被举报就说是用户个人行为,反正你也不能到我公司来查
|
 |
62
charmToby 2022-10-18 09:04:18 +08:00
@PqZS58MLPBHFpEqm #48 我猜测就是校验了一下请求的头信息里面的 Referer 字段
|
 |
63
thetbw 2022-10-18 09:18:39 +08:00
我以为微信和拼多多一伙的呢,微信那里不就是有拼多多的推广,为啥还要这么搞呢
|
 |
64
yuu95 2022-10-18 09:21:32 +08:00 via Android
之前发现了这个问题,当时就特好奇
|
 |
65
echoZero 2022-10-18 09:29:37 +08:00
奇怪的知识增加了
|
 |
66
vone 2022-10-18 09:33:48 +08:00
都是腾讯逼的。
我遇到一个情况:在微信群里分享的抖音加群口令(纯文本)消息,手机上长按后是没有复制 /转发选项的,只能登录微信 PC 版进行复制,然后通过微信文件助手转发给手机,在复制到抖音。 https://s1.ax1x.com/2022/10/18/xrkThD.png https://s1.ax1x.com/2022/10/18/xrkqcd.png https://s1.ax1x.com/2022/10/18/xrkXnI.png |
 |
67
wooyu 2022-10-18 09:35:07 +08:00 3
问问哪家手机厂商没有被拼洗洗黑灰产搞过,以前拼洗洗安全总监弗兰克就是拒绝攻击厂商,被解雇了,自己可以网上搜搜,拼洗洗就是靠黑灰产发家致富的
|
 |
68
yvescheung 2022-10-18 09:35:08 +08:00 1
这让我想起了把文件分块编码成图片然后上传到 B 站 CDN ,把 B 站当网盘的骚操作了
|
 |
69
guodongbin 2022-10-18 09:39:09 +08:00
|
|
70
xiaodongxier OP @yuzo555 普通非技术的朋友发的,并且是非技术的朋友本人助力的,之前也有这种情况当时以为是拼多多第三方合作实现的?可是现在想想微信封禁那么严格难道第三方就不怕被封?所以很好奇如果是第三方合作,第三方是怎么想的?如果不是合作,那么拼多多是怎么做到的?难道第三方不知道?
|
|
72
Exdui 2022-10-18 09:57:02 +08:00 1
@yuzo555 #42 拼多多官方的行为,这些链接都是从主 App 复制出来的;第三方推广都是推商品、会场页面,不会推助力的。
|
 |
73
wangyzj 2022-10-18 10:04:30 +08:00
公然玩灰产套路的“大厂”
|
 |
75
leadfast 2022-10-18 10:19:54 +08:00
剪切板属实让 PDD 玩儿明白了
|
 |
76
kukuasa 2022-10-18 10:26:56 +08:00 1
只能用魔法战胜魔法
|
 |
77
feitxue 2022-10-18 10:32:22 +08:00 2
|
 |
78
xx3122 2022-10-18 11:00:06 +08:00
https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/
右键查看源码灰色无法点击,源码加密,有谁能解开?啥加密方式啊 |
|
79
xx3122 2022-10-18 11:02:19 +08:00
我擦,居然是图片源码,牛逼
|
 |
80
HUAXIA 2022-10-18 11:11:13 +08:00
学习了
|
 |
81
zhuangjia 2022-10-18 11:11:21 +08:00
思路清奇
|
 |
83
cnnbboy 2022-10-18 11:13:02 +08:00
我擦,还能这样。。真是毒瘤
|
 |
84
wateryessence 2022-10-18 11:15:20 +08:00
养蛊养蛊
|
 |
85
gen900 2022-10-18 11:16:40 +08:00 via iPhone
|
 |
86
zhch602 2022-10-18 11:25:36 +08:00
PDD 还是骚啊
|
 |
87
lookStupiToForce 2022-10-18 11:37:01 +08:00
哎,国内这环境,好好的技术不钻研,工程精力全拿去钻研黑灰产👍
|
 |
88
hst001 2022-10-18 12:28:32 +08:00
魔鬼大乱斗
|
 |
89
Felldeadbird 2022-10-18 13:59:33 +08:00
PDD 这个真的一下子拓宽了视野啊。
|
 |
90
kansimeng 2022-10-18 14:26:03 +08:00
原因以为是产品没有下限,现在看来技术也不要脸了
|
 |
91
GodD6366 2022-10-18 14:26:59 +08:00
都是魔法
|
 |
92
wairdell 2022-10-18 14:57:57 +08:00 1
@PqZS58MLPBHFpEqm 直接打开 403 是因为请求头添加了 "Referer", 告诉后台该请求是从哪个页面链接过来的,应该是后台做了防盗链的处理。
|
 |
93
tutou 2022-10-18 15:07:12 +08:00
@guodongbin 这个什么原理???
|
 |
94
jerfoxu 2022-10-18 15:36:10 +08:00
算是学到了,为什么没人做一个类似的服务,提供给很多其他行业呢。
|
 |
95
solos 2022-10-18 15:39:35 +08:00
pdd 真牛逼啊
|
 |
96
ClosureEleven 2022-10-18 15:41:13 +08:00
又一次刷新认知了 pdd 真的是恶心
|
 |
100
adrianXu 2022-10-18 15:56:35 +08:00
前两天看到 cloud.huawei.com 开头的 pdd 分享链接
|
Select Language