这是一个创建于 1156 天前的主题,其中的信息可能已经有所发展或是发生改变。
经常收到朋友发的拼多多助力,无意间发现一个问题,就是拼多多是怎么做到分享的助力链接域名不是自己的呢?
1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce
比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce
比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
 | 1 BigBai 2022-10-17 17:59:49 +08:00 via Android 多多很厉害,这么不讲道理的吗 |
 | 2 huohei 2022-10-17 18:08:50 +08:00 第一个重定向了,第二个看不到 |
 | 3 Maboroshii 2022-10-17 18:08:53 +08:00 是不是收买了 CDN |
 | 4 Exdui 2022-10-17 18:10:16 +08:00  26 .只需要上传一张图片,引导用户复制链接、打开拼多多 .任何可以上传图片的图床,都可以被他拿去当成口令(链接=口令) .App 取用户的复制链接,根据链接找找是不是口令,是的话就打开对应页面 微信封的话,是封这些图床地址 /服务,跟拼多多彻底无关联。 |
 | 5 这也太离谱了 |
 | 6 xiaodongxier OP @huohei 第 2 个直接点是 403 ,但是复制链接到输入框回车能正常访问 |
 | 7 MIUIOS 2022-10-17 18:11:11 +08:00 1 这流氓到底了 |
 | 8 7zlid 2022-10-17 18:12:41 +08:00 via Android 8 总能从作恶中了解到技术到底有多么先进 工程实现有多么厉害 |
 | 9 brader 2022-10-17 18:14:52 +08:00 @Exdui 哈哈哈,拼夕夕这个操作秀啊,到时候因为用户举报或者微信封禁,等高德和联通发现这个情况的时候,那就好玩了呀,又有瓜吃了,你说高德和联通会不会告拼夕夕,哈哈哈 |
| 10 huohei 2022-10-17 18:17:26 +08:00 3 @xiaodongxier 个人想法:第一个是拼多多滥用了高德的短链接,第二个应该是滥用了联通的图床? |
 | 11 edis0n0 2022-10-17 18:25:09 +08:00 4 隔壁 loc 论坛的用户经常滥用这些大厂图床、文件床做灰*产站,估计入职 pd*d 了? |
 | 12 renmu &nsp;2022-10-17 18:32:54 +08:00 via Android 1 微信逼得 |
 | 13 sadfQED2 2022-10-17 19:09:35 +08:00 via Android 2 #4 大家说说这操作和 CSDN 关注公众号获取验证码哪个更牛逼一点 |
 | 14 Pythondr 2022-10-17 19:10:42 +08:00 我草,这牛逼了。这属于灰产吧。 |
 | 15 Danswerme 2022-10-17 19:13:17 +08:00 13 太秀了,后台就是硬,公然玩灰产。 |
 | 16 amlee 2022-10-17 19:13:34 +08:00 玩的真花 |
 | 17 docx 2022-10-17 19:27:39 +08:00 via iPhone 这是多多 APP 直接生成的?还是推广者个人行为? |
 | 19 Les1ie 2022-10-17 19:56:17 +08:00 3 https://u.163.com/a/7rGh2Zguj 还有 163 的短链接。上个月家里人说有人给他发了个拼多多助力的链接,不知道不是诈骗的。我打开一看源站是网易的,重定向到了腾讯云的对象存储落地,我找了很久也没找到网易哪里提供了生成这样的短 url 的途径。 我感觉这是黑灰产几乎一样的推广套路,利用大厂的开放重定向,只是最后的落地的页面不是菠菜类的诈骗,是砍一刀了。 ``` curl https://u.163.com/a/7rGh2Zguj -I --http1.1 HTTP/1.1 302 Server: nginx Date: Mon, 17 Oct 2022 11:53:57 GMT Connection: keep-alive Location: https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com X-Cache: from ngx70-194.163.com ``` 快照: https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/ |
 | 20 infinityv 2022-10-17 20:00:34 +08:00 via iPhone 上次还见到过用知乎的跳转的… |
 | 21 duzhuo 2022-10-17 20:03:26 +08:00 via Android 牛。。。。 |
 | 22 Seulgi 2022-10-17 20:39:04 +08:00 1 先生成引导引导用户复制链接的图片传到各云厂商的 oss, 链接上关联上一个分享 token. 再把这个 oss 链接给到各短链服务商生成短链, 给到用户分享. 那这样看, pdd 有一个 oss 聚合平台, 有一个短链聚合平台, 自己不做短链, 直接聚合世面的短链就行了? |
 | 23 fackVL 2022-10-17 20:42:02 +08:00 via iPhone 乱世出英雄,我以前做淘客封链接封的厉害时也这么搞过 |
 | 24 lmmortal 2022-10-17 20:46:59 +08:00 1 下午刚帮人助力了一下,连接是华为 vmall 商城的域名,点进去是阿里云的网址,复制链接打开拼多多就助力了,pdd 玩的可真花 |
 | 25 q409195961 2022-10-17 20:59:10 +08:00 别人家的链接 相当于他的口令 再用别人的图传 API 传图片生成短连接吗? 这操作真骚 |
 | 26 imldy 2022-10-17 21:00:05 +08:00 via Android 没想到大厂也敢这么玩,没下限 |
 | 27 zxsa 2022-10-17 21:01:51 +08:00 pdd 真会玩 |
 | 28 pikaconan 2022-10-17 21:03:54 +08:00 74 虽然很缺德很过分,但是一想到是张小龙他妈逼的,又觉得很合理了... |
 | 29 wbrobot 2022-10-17 21:08:56 +08:00 1 几天前见过利用腾讯文档...文档里面插了个链接....pdd 这执行力谁敢信... |
 | 31 crab 2022-10-17 21:29:24 +08:00 做这个的程序员最后不会背锅吧。 |
 | 32 snw 2022-10-17 21:41:17 +08:00 via Android 有些不明白,如果是作为 token 要复制后打开 pdd 才能用,为什么不直接弄个普通链接就好,而一定要用短链接呢? |
 | 34 tf2 2022-10-17 21:50:26 +08:00 长见识了。。。。 |
 | 36 slowman 2022-10-17 21:51:19 +08:00 2 微信的消息预览掩盖了自由世界的“域名”,所以消息发送和接收方一般不注意域名 |
 | 37 shika 2022-10-17 22:24:04 +08:00 via Android 还有这种骚操作,我艹 |
 | 39 LengthMin 2022-10-17 23:29:42 +08:00 真牛逼 |
 | 41 aqqwiyth 有点没下限, 蹲个坑 看后续 |
 | 42 yuzo555 2022-10-17 23:44:53 +08:00 首先需要确认这是官方行为还是刷佣的淘宝客干的。 不太用拼多多,楼主说的这种链接是从你普通非技术的朋友那里发来的,并且是为非技术的朋友本人助力的吗? 如果是,那么就可以确定是拼多多的官方行为 |
 | 43 littlewing 2022-10-17 23:52:32 +08:00 还有这种骚操作 |
 | 44 Zzdex 2022-10-17 23:58:27 +08:00 via iPhone nb |
 | 45 seakingii 2022-10-18 00:00:21 +08:00 1 微信和 PDD 互秀下限 |
 | 46 tanrunhao 2022-10-18 00:03:17 +08:00 能开源不, 有朋友需要。 |
 | 47 fkdtz 2022-10-18 00:15:12 +08:00 但是各家短链服务、图床不是都要收费的吗?这不是成本吗 |
 | 48 PqZS58MLPBHFpEqm 2022-10-18 00:21:21 +08:00 为什么第二个链接直接打开是 403 ,但复制粘贴又能访问?啥原理?我蒙了 |
 |
 | 50 cskeleton 2022-10-18 00:30:58 +08:00 @edis0n0 #11 也有可能是他们人逛 loc 看到了吧。之前在 loc 还是哪见过 gov cn 的图床,太会玩了 |
 | 51 Fucter 2022-10-18 00:45:43 +08:00 via Android 法外之地拼多多,反正也没人管,也没规定 |
 | 52 daimaosix 2022-10-18 01:03:25 +08:00 10 @PqZS58MLPBHFpEqm 设置了 Referer 白名单,但又允许了空 Referer 访问,就这原理。从 V2 打开 Referer 是 v2ex.com ,不在白名单内所以是 403 ,你复制粘贴后是空 Referer 访问,如果允许空 Referer 访问所以就可以打开了,也不用复制粘贴重新打开,你在地址栏敲下回车就行了。 |
 | 53 qeqv 2022-10-18 01:07:47 +08:00 @PqZS58MLPBHFpEqm 可能是 Referer Header |
| 54 qeqv 2022-10-18 01:09:44 +08:00 不喜欢拼多多,但拼多多就好像淘宝京东的一杆尺子 |
 | 55 Knuth 2022-10-18 01:19:04 +08:00 via iPhone 第二个好牛逼,怎么实现的 |
 | 56 dqzcwxb 2022-10-18 01:59:30 +08:00 1 用图床传推广图,推广图链接到 openinstall 这种无码邀请提供商然后跳转出微信下载 app,全程不与自家 app 或者域名关联完全封不掉 提供一个技术关键字可能跟这个不太相关,微信落地页域名防封 |
 | 57 nyxsonsleep 2022-10-18 02:54:23 +08:00 @sadfQED2 csdn 可以获取其他公众号验证码? |
 | 58 lopda 2022-10-18 08:19:17 +08:00 微 多 大 战 |
 | 59 zxcslove 2022-10-18 08:49:31 +08:00 都是小而美逼的 |
 | 60 liKeYunKeji 2022-10-18 08:53:22 +08:00 via iPhone 这应该是 XSS ,拼多多把他们的 html 传到其他站,然后修改 dom 显示自己的内容,将其他站作为入口域名,将 oss 等 cdn 作为落地页域名。 |
 | 61 LxnChan 2022-10-18 08:54:20 +08:00 滥用其他人的服务然后被举报就说是用户个人行为,反正你也不能到我公司来查 |
 | 62 charmToby 2022-10-18 09:04:18 +08:00 @PqZS58MLPBHFpEqm #48 我猜测就是校验了一下请求的头信息里面的 Referer 字段 |
 | 63 thetbw 2022-10-18 09:18:39 +08:00 我以为微信和拼多多一伙的呢,微信那里不就是有拼多多的推广,为啥还要这么搞呢 |
 | 64 yuu95 2022-10-18 09:21:32 +08:00 via Android 之前发现了这个问题,当时就特好奇 |
 | 65 echoZero 2022-10-18 09:29:37 +08:00 奇怪的知识增加了 |
 | 66 vone 2022-10-18 09:33:48 +08:00 都是腾讯逼的。 我遇到一个情况:在微信群里分享的抖音加群口令(纯文本)消息,手机上长按后是没有复制 /转发选项的,只能登录微信 PC 版进行复制,然后通过微信文件助手转发给手机,在复制到抖音。 https://s1.ax1x.com/2022/10/18/xrkThD.png https://s1.ax1x.com/2022/10/18/xrkqcd.png https://s1.ax1x.com/2022/10/18/xrkXnI.png |
 | 67 wooyu 2022-10-18 09:35:07 +08:00 3 问问哪家手机厂商没有被拼洗洗黑灰产搞过,以前拼洗洗安全总监弗兰克就是拒绝攻击厂商,被解雇了,自己可以网上搜搜,拼洗洗就是靠黑灰产发家致富的 |
 | 68 yvescheung 2022-10-18 09:35:08 +08:00 1 这让我想起了把文件分块编码成图片然后上传到 B 站 CDN ,把 B 站当网盘的骚操作了 |
 | 69 guodongbin 2022-10-18 09:39:09 +08:00 |
| 70 xiaodongxier OP @yuzo555 普通非技术的朋友发的,并且是非技术的朋友本人助力的,之前也有这种情况当时以为是拼多多第三方合作实现的?可是现在想想微信封禁那么严格难道第三方就不怕被封?所以很好奇如果是第三方合作,第三方是怎么想的?如果不是合作,那么拼多多是怎么做到的?难道第三方不知道? |
| 72 Exdui 2022-10-18 09:57:02 +08:00 1 @yuzo555 #42 拼多多官方的行为,这些链接都是从主 App 复制出来的;第三方推广都是推商品、会场页面,不会推助力的。 |
 | 73 wangyzj 2022-10-18 10:04:30 +08:00 公然玩灰产套路的“大厂” |
 | 75 leadfast 2022-10-18 10:19:54 +08:00 剪切板属实让 PDD 玩儿明白了 |
 | 76 kukuasa 2022-10-18 10:26:56 +08:00 1 只能用魔法战胜魔法 |
 | 77 feitxue 2022-10-18 10:32:22 +08:00 2 |
 | 78 xx3122 2022-10-18 11:00:06 +08:00 https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/ 右键查看源码灰色无法点击,源码加密,有谁能解开?啥加密方式啊 |
| 79 xx3122 2022-10-18 11:02:19 +08:00 我擦,居然是图片源码,牛逼 |
 | 80 HUAXIA 2022-10-18 11:11:13 +08:00 学习了 |
 | 81 zhuangjia 2022-10-18 11:11:21 +08:00 思路清奇 |
 | 83 cnnbboy 2022-10-18 11:13:02 +08:00 我擦,还能这样。。真是毒瘤 |
 | 84 wateryessence 2022-10-18 11:15:20 +08:00 养蛊养蛊 |
 | 86 zhch602 2022-10-18 11:25:36 +08:00 PDD 还是骚啊 |
 | 87 lookStupiToForce 2022-10-18 11:37:01 +08:00 哎,国内这环境,好好的技术不钻研,工程精力全拿去钻研黑灰产 |
 | 88 hst001 2022-10-18 12:28:32 +08:00 魔鬼大乱斗 |
 | 89 Felldeadbird 2022-10-18 13:59:33 +08:00 PDD 这个真的一下子拓宽了视野啊。 |
 | 90 kansimeng 2022-10-18 14:26:03 +08:00 原因以为是产品没有下限,现在看来技术也不要脸了 |
 | 91 GodD6366 2022-10-18 14:26:59 +08:00 都是魔法 |
 | 92 wairdell 2022-10-18 14:57:57 +08:00 1 @PqZS58MLPBHFpEqm 直接打开 403 是因为请求头添加了 "Referer", 告诉后台该请求是从哪个页面链接过来的,应该是后台做了防盗链的处理。 |
 | 93 tutou @guodongbin 这个什么原理??? |
 | 94 jerfoxu 2022-10-18 15:36:10 +08:00 算是学到了,为什么没人做一个类似的服务,提供给很多其他行业呢。 |
 | 95 solos 2022-10-18 15:39:35 +08:00 pdd 真牛逼啊 |
 | 96 ClosureEleven 2022-10-18 15:41:13 +08:00 又一次刷新认知了 pdd 真的是恶心 |
 | 100 adrianXu 2022-10-18 15:56:35 +08:00 前两天看到 cloud.huawei.com 开头的 pdd 分享链接 |
Select Language