V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaodongxier
V2EX  ›  程序员

拼多多是怎么做到分享的助力链接域名不是自己的呢?

  •  8
     
  •   xiaodongxier ·
    xiaodongxier · 2022-10-17 17:55:16 +08:00 · 30753 次点击
    这是一个创建于 772 天前的主题,其中的信息可能已经有所发展或是发生改变。
    经常收到朋友发的拼多多助力,无意间发现一个问题,就是拼多多是怎么做到分享的助力链接域名不是自己的呢?

    1. https://surl.amap.com/mxNiRlg1d3z
    2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce

    比如:
    上面的第 1 个链接,域名是高德地图的
    上面的第 2 个链接,域名是联通营业厅的
    135 条回复    2023-03-10 23:41:13 +08:00
    1  2  
    Erroad
        101
    Erroad  
       2022-10-18 15:56:47 +08:00
    @yuzo555 #42 我经常跟姑姑阿姨玩这些,可以确认是的
    xinyu198736
        102
    xinyu198736  
       2022-10-18 16:36:44 +08:00 via iPhone
    这明显是破坏计算机信息系统罪
    Ansen
        103
    Ansen  
       2022-10-18 16:43:54 +08:00
    感觉并不需要上传图片,纯粹的用 三厂域名接随机字符作为 token 伪装成 url 就可以了

    比如: http://www.qq.com/3wnmJOBtGLOIiUx

    后面的 3wnmJOBtGLOIiUx 就是实际的 token
    programMrxu
        104
    programMrxu  
       2022-10-18 17:10:26 +08:00
    看样子拼多多后台很厉害喽
    neroxps
        105
    neroxps  
       2022-10-18 17:15:56 +08:00
    理论上,他随便搞个其他域名 url 都可以吧。

    恍惚在背后听见 PDD 对微信说:“你封啊,你限制复制口令啊,让你限制啊,来啊~”
    raysonlu
        106
    raysonlu  
       2022-10-18 17:28:37 +08:00
    weakish
        107
    weakish  
       2022-10-18 17:34:50 +08:00
    @Ansen 我從來沒有用過拼多多助力。不過我猜偽裝 URL 的缺點是很多人會直接點,然後 404 。如果是短鏈接和圖片的話,就可以引導用戶複製鏈接、打開拼多多應用。
    summerLast
        108
    summerLast  
       2022-10-18 18:00:48 +08:00
    @PqZS58MLPBHFpEqm 看看是不是 Referer
    paledream
        110
    paledream  
       2022-10-18 19:50:52 +08:00
    @jefferylong 主页是微信对话开放平台,这个看上去没问题,接入了算是正常利用吧
    jefferylong
        111
    jefferylong  
       2022-10-18 19:57:04 +08:00 via Android
    @paledream 是的,直接复制打开拼多多也可以去助力
    zml
        112
    zml  
       2022-10-18 20:35:43 +08:00
    @pytth 就像楼主这个举例,跨站脚本怎么能传到高德和 163 ?不解。这算入侵?
    zml
        113
    zml  
       2022-10-18 20:38:07 +08:00
    @neroxps 张小龙:我狠起来可是连*.qq.com 都封的。
    fengmk2
        114
    fengmk2  
       2022-10-18 20:52:37 +08:00
    @jefferylong 微信自己都被攻陷
    H0u5er
        115
    H0u5er  
       2022-10-18 21:15:35 +08:00   ❤️ 2
    火狐浏览器的 network.http.sendRefererHeader 参数改成 0 ,禁用 Referer ,即可正常转跳链接 2 ,但同时会导致 V 站无法正常登陆。

    本隐私怪附上一些我调教过的浏览器参数

    ```
    identity.fxaccounts.enabled = false
    beacon.enabled = false
    dom.battery.enabled = false
    dom.event.clipboardevents.enabled = false
    geo.enabled = false
    media.eme.enabled = false
    media.navigator.enabled = false
    media.peerconnection.enabled = false // Disable WebRTC
    privacy.firstparty.isolate = true
    privacy.resistFingerprinting = true. // user agent changed
    privacy.trackingprotection.enabled = true
    webgl.disabled = true
    privacy.trackingprotection.cryptomining.enabled = true
    privacy.trackingprotection.fingerprinting.enabled = true
    Privacy->Third Party Cookies->All third party cookies // on the browser setting
    Privacy->Cookies->Block cookies and site data: All third party // on the browser setting
    Privacy->Cookies->Keep until: Firefox is closed // on the browser setting
    privacy.clearOnShutdown.cookies: true
    network.cookie.cookieBehavior: 1
    network.cookie.lifetimePolicy: 2 // on the browser setting
    network.cookie.thirdparty.sessionOnly: true
    network.cookie.thirdparty.nonsecureSessionOnly: true
    network.trr.mode = 3
    network.dns.echconfig.enabled = true
    network.dns.http3_echconfig.enabled = true
    network.dns.use_https_rr_as_altsvc = true
    network.dns.disablePrefetch = true
    network.http.sendRefererHeader = 0. // but i set as "1" since cannot visit V2EX after change
    network.prefetch-next = false
    network.cookie.sameSite.laxByDefault = true
    network.cookie.sameSite.noneRequiresSecure = true
    ```
    Exdui
        116
    Exdui  
       2022-10-18 21:22:13 +08:00
    @Ansen #103 随意拼接的链接,接收方无法打开链接,也不知道怎么操作;上传图片主要是引导作用,接收方点开就知道如何操作。
    Garphy
        117
    Garphy  
       2022-10-19 00:02:48 +08:00
    不要脸就宇宙无敌了
    ariza
        118
    ariza  
       2022-10-19 00:09:31 +08:00 via Android
    有没有可能提出方案的人获得晋升了
    loolac
        119
    loolac  
       2022-10-19 08:32:21 +08:00
    拼多多骚操作真多啊
    pengyOne
        120
    pengyOne  
       2022-10-19 09:13:59 +08:00
    哈哈, 牛逼牛逼,我昨天也还在奇怪呢。
    Twnysta
        121
    Twnysta  
       2022-10-19 09:46:27 +08:00
    就是各大云服务的图片,最后才会跳转到拼夕夕自己
    123go
        122
    123go  
       2022-10-19 09:48:09 +08:00
    @Exdui #4 为什么一定要用链接呢 直接一段密文不就行了
    imNull
        123
    imNull  
       2022-10-19 10:37:56 +08:00
    @123go 引导用户点击查看如何使用
    jelinet
        124
    jelinet  
       2022-10-19 11:23:17 +08:00
    哈哈哈哈,pdd 太骚了
    Exdui
        125
    Exdui  
       2022-10-19 11:27:40 +08:00
    @123go #122 之前的口令就属于一段密文,现在都被微信屏蔽得很难用、很难复制。
    Lamlam147
        126
    Lamlam147  
       2022-10-19 11:36:13 +08:00
    前段时间看到一个 url.cloud.huawei.com 的域名,当时还以为华为云提供了跳转服务
    dirtydeeds
        127
    dirtydeeds  
       2022-10-19 14:12:32 +08:00
    这也行,厉害厉害
    weeei
        128
    weeei  
       2022-10-19 17:03:09 +08:00
    cc.10010.com 是联通的在线客服服务,我觉得它可能是给机器人客服发了图片,然后拿到图片链接了。
    imtony
        129
    imtony  
       2022-10-19 22:49:12 +08:00 via iPhone
    “令人发指
    LuoboTixS
        130
    LuoboTixS  
       2022-10-20 01:07:31 +08:00
    够野。够卷。这就是 Growth Hacking 吗,爱了爱了
    js8510
        131
    js8510  
       2022-10-20 03:23:22 +08:00
    我想知道最先想出这个点子的大哥 年底拿了多少奖金
    pytth
        132
    pytth  
       2022-10-20 10:36:05 +08:00   ❤️ 1
    @zml 跨站脚本算入侵,这种操作很多黑产都这么玩。前段时间我就拿到黑产的一个案例来做技术分析,得出的结果刚好就是与拼多多目前的操作相似。原理也很简单,用 Burp Suite 进行抓包并且中途修改请求参数来将 html 伪造成图片来上传就可以注入到服务器。
    Mzs
        133
    Mzs  
       2022-10-20 18:00:07 +08:00
    今天面试 pdd 问了句 说自己的 不是高德的😂 具体没和我说
    dtdths1
        134
    dtdths1  
       2022-10-20 18:55:37 +08:00
    属实玩明白了
    flashpython
        135
    flashpython  
       2023-03-10 23:41:13 +08:00
    @yuzo555 现在来看,我说是官方的问题,没问题吧?
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2745 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:20 · PVG 08:20 · LAX 16:20 · JFK 19:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.