V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaodongxier
V2EX  ›  程序员

拼多多是怎么做到分享的助力链接域名不是自己的呢?

  •  8
     
  •   xiaodongxier ·
    xiaodongxier · 2022-10-17 17:55:16 +08:00 · 29902 次点击
    这是一个创建于 643 天前的主题,其中的信息可能已经有所发展或是发生改变。
    经常收到朋友发的拼多多助力,无意间发现一个问题,就是拼多多是怎么做到分享的助力链接域名不是自己的呢?

    1. https://surl.amap.com/mxNiRlg1d3z
    2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce

    比如:
    上面的第 1 个链接,域名是高德地图的
    上面的第 2 个链接,域名是联通营业厅的
    135 条回复    2023-03-10 23:41:13 +08:00
    1  2  
    BigBai
        1
    BigBai  
       2022-10-17 17:59:49 +08:00 via Android
    多多很厉害,这么不讲道理的吗
    huohei
        2
    huohei  
       2022-10-17 18:08:50 +08:00
    第一个重定向了,第二个看不到
    Maboroshii
        3
    Maboroshii  
       2022-10-17 18:08:53 +08:00
    是不是收买了 CDN
    Exdui
        4
    Exdui  
       2022-10-17 18:10:16 +08:00   ❤️ 26
    .只需要上传一张图片,引导用户复制链接、打开拼多多
    .任何可以上传图片的图床,都可以被他拿去当成口令(链接=口令)
    .App 取用户的复制链接,根据链接找找是不是口令,是的话就打开对应页面

    微信封的话,是封这些图床地址 /服务,跟拼多多彻底无关联。
    jenlors
        5
    jenlors  
       2022-10-17 18:10:24 +08:00 via iPhone
    这也太离谱了
    xiaodongxier
        6
    xiaodongxier  
    OP
       2022-10-17 18:10:57 +08:00
    @huohei 第 2 个直接点是 403 ,但是复制链接到输入框回车能正常访问
    totoro52
        7
    totoro52  
       2022-10-17 18:11:11 +08:00   ❤️ 1
    这流氓到底了
    7zlid
        8
    7zlid  
       2022-10-17 18:12:41 +08:00 via Android   ❤️ 8
    总能从作恶中了解到技术到底有多么先进
    工程实现有多么厉害
    brader
        9
    brader  
       2022-10-17 18:14:52 +08:00
    @Exdui 哈哈哈,拼夕夕这个操作秀啊,到时候因为用户举报或者微信封禁,等高德和联通发现这个情况的时候,那就好玩了呀,又有瓜吃了,你说高德和联通会不会告拼夕夕,哈哈哈
    huohei
        10
    huohei  
       2022-10-17 18:17:26 +08:00   ❤️ 3
    @xiaodongxier 个人想法:第一个是拼多多滥用了高德的短链接,第二个应该是滥用了联通的图床?
    edis0n0
        11
    edis0n0  
       2022-10-17 18:25:09 +08:00   ❤️ 4
    隔壁 loc 论坛的用户经常滥用这些大厂图床、文件床做灰*产站,估计入职 pd*d 了?
    renmu
        12
    renmu  
       2022-10-17 18:32:54 +08:00 via Android   ❤️ 1
    微信逼得
    sadfQED2
        13
    sadfQED2  
       2022-10-17 19:09:35 +08:00 via Android   ❤️ 2
    #4

    大家说说这操作和 CSDN 关注公众号获取验证码哪个更牛逼一点
    Pythondr
        14
    Pythondr  
       2022-10-17 19:10:42 +08:00
    我草,这牛逼了。这属于灰产吧。
    Danswerme
        15
    Danswerme  
       2022-10-17 19:13:17 +08:00   ❤️ 13
    太秀了,后台就是硬,公然玩灰产。
    amlee
        16
    amlee  
       2022-10-17 19:13:34 +08:00
    玩的真花
    docx
        17
    docx  
       2022-10-17 19:27:39 +08:00 via iPhone
    这是多多 APP 直接生成的?还是推广者个人行为?
    jousca
        18
    jousca  
       2022-10-17 19:30:31 +08:00
    @docx 肯定是拼夕夕直接生成的。他家玩法没有下限。
    Les1ie
        19
    Les1ie  
       2022-10-17 19:56:17 +08:00   ❤️ 3
    https://u.163.com/a/7rGh2Zguj

    还有 163 的短链接。上个月家里人说有人给他发了个拼多多助力的链接,不知道是不是诈骗的。我打开一看源站是网易的,重定向到了腾讯云的对象存储落地,我找了很久也没找到网易哪里提供了生成这样的短 url 的途径。

    我感觉这是黑灰产几乎一样的推广套路,利用大厂的开放重定向,只是最后的落地的页面不是菠菜类的诈骗,是砍一刀了。
    ```
    curl https://u.163.com/a/7rGh2Zguj -I --http1.1
    HTTP/1.1 302
    Server: nginx
    Date: Mon, 17 Oct 2022 11:53:57 GMT
    Connection: keep-alive
    Location: https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com
    X-Cache: from ngx70-194.163.com

    ```
    快照: https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/
    infinityv
        20
    infinityv  
       2022-10-17 20:00:34 +08:00 via iPhone
    上次还见到过用知乎的跳转的…
    duzhuo
        21
    duzhuo  
       2022-10-17 20:03:26 +08:00 via Android
    牛。。。。
    Seulgi
        22
    Seulgi  
       2022-10-17 20:39:04 +08:00   ❤️ 1
    先生成引导引导用户复制链接的图片传到各云厂商的 oss, 链接上关联上一个分享 token. 再把这个 oss 链接给到各短链服务商生成短链, 给到用户分享.
    那这样看, pdd 有一个 oss 聚合平台, 有一个短链聚合平台, 自己不做短链, 直接聚合世面的短链就行了?
    fackVL
        23
    fackVL  
       2022-10-17 20:42:02 +08:00 via iPhone
    乱世出英雄,我以前做淘客封链接封的厉害时也这么搞过
    lmmortal
        24
    lmmortal  
       2022-10-17 20:46:59 +08:00   ❤️ 1
    下午刚帮人助力了一下,连接是华为 vmall 商城的域名,点进去是阿里云的网址,复制链接打开拼多多就助力了,pdd 玩的可真花
    q409195961
        25
    q409195961  
       2022-10-17 20:59:10 +08:00
    别人家的链接

    相当于他的口令

    再用别人的图传 API 传图片生成短连接吗?

    这操作真骚
    imldy
        26
    imldy  
       2022-10-17 21:00:05 +08:00 via Android
    没想到大厂也敢这么玩,没下限
    zxsa
        27
    zxsa  
       2022-10-17 21:01:51 +08:00
    pdd 真会玩
    luhe
        28
    luhe  
       2022-10-17 21:03:54 +08:00   ❤️ 74
    虽然很缺德很过分,但是一想到是张小龙他妈逼的,又觉得很合理了...
    wbrobot
        29
    wbrobot  
       2022-10-17 21:08:56 +08:00   ❤️ 1
    几天前见过利用腾讯文档...文档里面插了个链接....pdd 这执行力谁敢信...
    ncepuzs
        30
    ncepuzs  
       2022-10-17 21:09:52 +08:00
    @Les1ie OP 贴的第一个不就是重定向到了腾讯云的 COS 吗
    crab
        31
    crab  
       2022-10-17 21:29:24 +08:00
    做这个的程序员最后不会背锅吧。
    snw
        32
    snw  
       2022-10-17 21:41:17 +08:00 via Android
    有些不明白,如果是作为 token 要复制后打开 pdd 才能用,为什么不直接弄个普通链接就好,而一定要用短链接呢?
    ly841000
        33
    ly841000  
       2022-10-17 21:48:42 +08:00
    @snw 微信对每个域名链接发送次数有限制
    lambdaq
        34
    lambdaq  
       2022-10-17 21:50:26 +08:00
    长见识了。。。。
    ly841000
        35
    ly841000  
       2022-10-17 21:50:27 +08:00
    @Seulgi 不需要引导,拼多多直接在后面上传一个图片,把这个图片的链接关联 token , 给用户分享
    1423
        36
    1423  
       2022-10-17 21:51:19 +08:00   ❤️ 2
    微信的消息预览掩盖了自由世界的“域名”,所以消息发送和接收方一般不注意域名
    shika
        37
    shika  
       2022-10-17 22:24:04 +08:00 via Android
    还有这种骚操作,我艹
    cxe2v
        38
    cxe2v  
       2022-10-17 22:33:05 +08:00
    @ly841000 什么限制?
    LengthMin
        39
    LengthMin  
       2022-10-17 23:29:42 +08:00
    真牛逼
    Exdui
        40
    Exdui  
       2022-10-17 23:36:56 +08:00
    @snw 降低被直接秒杀的概率,之前他们也有直接用普通链接的,估计被微信识破了。
    aqqwiyth
        41
    aqqwiyth  
       2022-10-17 23:43:31 +08:00
    有点没下限, 蹲个坑 看后续
    yuzo555
        42
    yuzo555  
       2022-10-17 23:44:53 +08:00
    首先需要确认这是官方行为还是刷佣的淘宝客干的。

    不太用拼多多,楼主说的这种链接是从你普通非技术的朋友那里发来的,并且是为非技术的朋友本人助力的吗?
    如果是,那么就可以确定是拼多多的官方行为
    littlewing
        43
    littlewing  
       2022-10-17 23:52:32 +08:00
    还有这种骚操作
    Zzdex
        44
    Zzdex  
       2022-10-17 23:58:27 +08:00 via iPhone
    nb
    seakingii
        45
    seakingii  
       2022-10-18 00:00:21 +08:00   ❤️ 1
    微信和 PDD 互秀下限
    tanrunhao
        46
    tanrunhao  
       2022-10-18 00:03:17 +08:00
    能开源不, 有朋友需要。
    fkdtz
        47
    fkdtz  
       2022-10-18 00:15:12 +08:00
    但是各家短链服务、图床不是都要收费的吗?这不是成本吗
    PqZS58MLPBHFpEqm
        48
    PqZS58MLPBHFpEqm  
       2022-10-18 00:21:21 +08:00
    为什么第二个链接直接打开是 403 ,但复制粘贴又能访问?啥原理?我蒙了
    jim9606
        49
    jim9606  
       2022-10-18 00:22:44 +08:00
    看链接的内容没看出直接关联。

    我想到的方案是利用 URL 的最后一段,用特殊方法编码跟踪 ID ,客户端通过剪贴板得到 URL 后尝试解码出跟踪 ID 。这样即使整个 URL 是无效的也不影响分享,如果无法控制白名单地址显示的内容就最好是构造成非法地址避免意外跳转。
    不过感觉这个方案似乎没有比淘口令那种好多少。
    cskeleton
        50
    cskeleton  
       2022-10-18 00:30:58 +08:00
    @edis0n0 #11 也有可能是他们人逛 loc 看到了吧。之前在 loc 还是哪见过 gov cn 的图床,太会玩了
    Fucter
        51
    Fucter  
       2022-10-18 00:45:43 +08:00 via Android
    法外之地拼多多,反正也没人管,也没规定
    daimaosix
        52
    daimaosix  
       2022-10-18 01:03:25 +08:00   ❤️ 10
    @PqZS58MLPBHFpEqm 设置了 Referer 白名单,但又允许了空 Referer 访问,就这原理。从 V2 打开 Referer 是 v2ex.com ,不在白名单内所以是 403 ,你复制粘贴后是空 Referer 访问,如果允许空 Referer 访问所以就可以打开了,也不用复制粘贴重新打开,你在地址栏敲下回车就行了。
    qeqv
        53
    qeqv  
       2022-10-18 01:07:47 +08:00
    @PqZS58MLPBHFpEqm 可能是 Referer Header
    qeqv
        54
    qeqv  
       2022-10-18 01:09:44 +08:00
    不喜欢拼多多,但拼多多就好像淘宝京东的一杆尺子
    Knuth
        55
    Knuth  
       2022-10-18 01:19:04 +08:00 via iPhone
    第二个好牛逼,怎么实现的
    dqzcwxb
        56
    dqzcwxb  
       2022-10-18 01:59:30 +08:00   ❤️ 1
    用图床传推广图,推广图链接到 openinstall 这种无码邀请提供商然后跳转出微信下载 app,全程不与自家 app 或者域名关联完全封不掉
    提供一个技术关键字可能跟这个不太相关,微信落地页域名防封
    nyxsonsleep
        57
    nyxsonsleep  
       2022-10-18 02:54:23 +08:00
    @sadfQED2 csdn 可以获取其他公众号验证码?
    lopda
        58
    lopda  
       2022-10-18 08:19:17 +08:00
    微 多 大 战
    zxcslove
        59
    zxcslove  
       2022-10-18 08:49:31 +08:00
    都是小而美逼的
    pytth
        60
    pytth  
       2022-10-18 08:53:22 +08:00 via iPhone
    这应该是 XSS ,拼多多把他们的 html 传到其他站,然后修改 dom 显示自己的内容,将其他站作为入口域名,将 oss 等 cdn 作为落地页域名。
    LxnChan
        61
    LxnChan  
       2022-10-18 08:54:20 +08:00
    滥用其他人的服务然后被举报就说是用户个人行为,反正你也不能到我公司来查
    charmToby
        62
    charmToby  
       2022-10-18 09:04:18 +08:00
    @PqZS58MLPBHFpEqm #48 我猜测就是校验了一下请求的头信息里面的 Referer 字段
    thetbw
        63
    thetbw  
       2022-10-18 09:18:39 +08:00
    我以为微信和拼多多一伙的呢,微信那里不就是有拼多多的推广,为啥还要这么搞呢
    yuu95
        64
    yuu95  
       2022-10-18 09:21:32 +08:00 via Android
    之前发现了这个问题,当时就特好奇
    echoZero
        65
    echoZero  
       2022-10-18 09:29:37 +08:00
    奇怪的知识增加了
    vone
        66
    vone  
       2022-10-18 09:33:48 +08:00
    都是腾讯逼的。
    我遇到一个情况:在微信群里分享的抖音加群口令(纯文本)消息,手机上长按后是没有复制 /转发选项的,只能登录微信 PC 版进行复制,然后通过微信文件助手转发给手机,在复制到抖音。
    https://s1.ax1x.com/2022/10/18/xrkThD.png
    https://s1.ax1x.com/2022/10/18/xrkqcd.png
    https://s1.ax1x.com/2022/10/18/xrkXnI.png
    wooyu
        67
    wooyu  
       2022-10-18 09:35:07 +08:00   ❤️ 3
    问问哪家手机厂商没有被拼洗洗黑灰产搞过,以前拼洗洗安全总监弗兰克就是拒绝攻击厂商,被解雇了,自己可以网上搜搜,拼洗洗就是靠黑灰产发家致富的
    yvescheung
        68
    yvescheung  
       2022-10-18 09:35:08 +08:00   ❤️ 1
    这让我想起了把文件分块编码成图片然后上传到 B 站 CDN ,把 B 站当网盘的骚操作了
    guodongbin
        69
    guodongbin  
       2022-10-18 09:39:09 +08:00
    xiaodongxier
        70
    xiaodongxier  
    OP
       2022-10-18 09:46:14 +08:00
    @yuzo555 普通非技术的朋友发的,并且是非技术的朋友本人助力的,之前也有这种情况当时以为是拼多多第三方合作实现的?可是现在想想微信封禁那么严格难道第三方就不怕被封?所以很好奇如果是第三方合作,第三方是怎么想的?如果不是合作,那么拼多多是怎么做到的?难道第三方不知道?
    ersic
        71
    ersic  
       2022-10-18 09:53:23 +08:00
    @luhe 单纯封 PDD 来说,我只能说封的好。
    Exdui
        72
    Exdui  
       2022-10-18 09:57:02 +08:00   ❤️ 1
    @yuzo555 #42 拼多多官方的行为,这些链接都是从主 App 复制出来的;第三方推广都是推商品、会场页面,不会推助力的。
    wangyzj
        73
    wangyzj  
       2022-10-18 10:04:30 +08:00
    公然玩灰产套路的“大厂”
    luhe
        74
    luhe  
       2022-10-18 10:17:42 +08:00 via iPhone
    @ersic 哪个星球来的?淘宝京东不是一样封?
    leadfast
        75
    leadfast  
       2022-10-18 10:19:54 +08:00
    剪切板属实让 PDD 玩儿明白了
    kukuasa
        76
    kukuasa  
       2022-10-18 10:26:56 +08:00   ❤️ 1
    只能用魔法战胜魔法
    feitxue
        77
    feitxue  
       2022-10-18 10:32:22 +08:00   ❤️ 2
    @thetbw #63
    反过来说明微信对防止出现过度营销、诱导分享等场景还是做的可以的,要不然不会逼得 pdd 这么搞。
    之前不是疯起来腾讯自家的公众号都封。
    xx3122
        78
    xx3122  
       2022-10-18 11:00:06 +08:00
    https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/

    右键查看源码灰色无法点击,源码加密,有谁能解开?啥加密方式啊
    xx3122
        79
    xx3122  
       2022-10-18 11:02:19 +08:00
    我擦,居然是图片源码,牛逼
    HUAXIA
        80
    HUAXIA  
       2022-10-18 11:11:13 +08:00
    学习了
    zhuangjia
        81
    zhuangjia  
       2022-10-18 11:11:21 +08:00
    思路清奇
    Exdui
        82
    Exdui  
       2022-10-18 11:12:49 +08:00
    @xx3122 #78 没什么源码、代码,就单纯一张引导图片,任何可以放图片的网页,他都可以拿去当作口令。
    cnnbboy
        83
    cnnbboy  
       2022-10-18 11:13:02 +08:00
    我擦,还能这样。。真是毒瘤
    wateryessence
        84
    wateryessence  
       2022-10-18 11:15:20 +08:00
    养蛊养蛊
    gen900
        85
    gen900  
       2022-10-18 11:16:40 +08:00 via iPhone
    zhch602
        86
    zhch602  
       2022-10-18 11:25:36 +08:00
    PDD 还是骚啊
    lookStupiToForce
        87
    lookStupiToForce  
       2022-10-18 11:37:01 +08:00
    哎,国内这环境,好好的技术不钻研,工程精力全拿去钻研黑灰产👍
    hst001
        88
    hst001  
       2022-10-18 12:28:32 +08:00
    魔鬼大乱斗
    Felldeadbird
        89
    Felldeadbird  
       2022-10-18 13:59:33 +08:00
    PDD 这个真的一下子拓宽了视野啊。
    kansimeng
        90
    kansimeng  
       2022-10-18 14:26:03 +08:00
    原因以为是产品没有下限,现在看来技术也不要脸了
    GodD6366
        91
    GodD6366  
       2022-10-18 14:26:59 +08:00
    都是魔法
    wairdell
        92
    wairdell  
       2022-10-18 14:57:57 +08:00   ❤️ 1
    @PqZS58MLPBHFpEqm 直接打开 403 是因为请求头添加了 "Referer", 告诉后台该请求是从哪个页面链接过来的,应该是后台做了防盗链的处理。
    tutou
        93
    tutou  
       2022-10-18 15:07:12 +08:00
    @guodongbin 这个什么原理???
    jerfoxu
        94
    jerfoxu  
       2022-10-18 15:36:10 +08:00
    算是学到了,为什么没人做一个类似的服务,提供给很多其他行业呢。
    solos
        95
    solos  
       2022-10-18 15:39:35 +08:00
    pdd 真牛逼啊
    ClosureEleven
        96
    ClosureEleven  
       2022-10-18 15:41:13 +08:00
    又一次刷新认知了 pdd 真的是恶心
    abc8678
        97
    abc8678  
       2022-10-18 15:49:27 +08:00 via Android
    @7zlid 小时候觉得科技改变生活,现在觉得是以坑人为本
    abc8678
        98
    abc8678  
       2022-10-18 15:53:10 +08:00 via Android
    @vone 新版知乎客户端也没有了复制选项
    narutots
        99
    narutots  
       2022-10-18 15:53:59 +08:00
    @snw 我也不明白,作为 token 的话为啥必须用链接?一段字符串不行吗?
    adrianXu
        100
    adrianXu  
       2022-10-18 15:56:35 +08:00
    前两天看到 cloud.huawei.com 开头的 pdd 分享链接
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2118 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 16:08 · PVG 00:08 · LAX 09:08 · JFK 12:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.