这是一个创建于 1199 天前的主题,其中的信息可能已经有所发展或是发生改变。
经常收到朋友发的拼多多助力,无意间发现一个问题,就是拼多多是怎么做到分享的助力链接域名不是自己的呢?
1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce
比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce
比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
 |
102
xinyu198736 2022 年 10 月 18 日 via iPhone
这明显是破坏计算机信息系统罪
|
 |
103
Ansen 2022 年 10 月 18 日
感觉并不需要上传图片,纯粹的用 三厂域名接随机字符作为 token 伪装成 url 就可以了
比如: http://www.qq.com/3wnmJOBtGLOIiUx 后面的 3wnmJOBtGLOIiUx 就是实际的 token |
 |
104
programMrxu 2022 年 10 月 18 日
看样子拼多多后台很厉害喽
|
 |
105
neroxps 2022 年 10 月 18 日
理论上,他随便搞个其他域名 url 都可以吧。
恍惚在背后听见 PDD 对微信说:“你封啊,你限制复制口令啊,让你限制啊,来啊~” |
 |
106
raysonlu 2022 年 10 月 18 日
@PqZS58MLPBHFpEqm Referer
|
 |
107
weakish 2022 年 10 月 18 日
@Ansen 我從來沒有用過拼多多助力。不過我猜偽裝 URL 的缺點是很多人會直接點,然後 404 。如果是短鏈接和圖片的話,就可以引導用戶複製鏈接、打開拼多多應用。
|
 |
108
summerLast 2022 年 10 月 18 日
@PqZS58MLPBHFpEqm 看看是不是 Referer
|
 |
109
jefferylong 2022 年 10 月 18 日 via Android  2
|
 |
110
paledream 2022 年 10 月 18 日
@jefferylong 主页是微信对话开放平台,这个看上去没问题,接入了算是正常利用吧
|
|
111
jefferylong 2022 年 10 月 18 日 via Android
@paledream 是的,直接复制打开拼多多也可以去助力
|
 |
114
fengmk2 2022 年 10 月 18 日
@jefferylong 微信自己都被攻陷
|
 |
115
H0u5er 2022 年 10 月 18 日 2
火狐浏览器的 network.http.sendRefererHeader 参数改成 0 ,禁用 Referer ,即可正常转跳链接 2 ,但同时会导致 V 站无法正常登陆。
本隐私怪附上一些我调教过的浏览器参数 ``` identity.fxaccounts.enabled = false beacon.enabled = false dom.battery.enabled = false dom.event.clipboardevents.enabled = false geo.enabled = false media.eme.enabled = false media.navigator.enabled = false media.peerconnection.enabled = false // Disable WebRTC privacy.firstparty.isolate = true privacy.resistFingerprinting = true. // user agent changed privacy.trackingprotection.enabled = true webgl.disabled = true privacy.trackingprotection.cryptomining.enabled = true privacy.trackingprotection.fingerprinting.enabled = true Privacy->Third Party Cookies->All third party cookies // on the browser setting Privacy->Cookies->Block cookies and site data: All third party // on the browser setting Privacy->Cookies->Keep until: Firefox is closed // on the browser setting privacy.clearOnShutdown.cookies: true network.cookie.cookieBehavior: 1 network.cookie.lifetimePolicy: 2 // on the browser setting network.cookie.thirdparty.sessionOnly: true network.cookie.thirdparty.nonsecureSessionOnly: true network.trr.mode = 3 network.dns.echconfig.enabled = true network.dns.http3_echconfig.enabled = true network.dns.use_https_rr_as_altsvc = true network.dns.disablePrefetch = true network.http.sendRefererHeader = 0. // but i set as "1" since cannot visit V2EX after change network.prefetch-next = false network.cookie.sameSite.laxByDefault = true network.cookie.sameSite.noneRequiresSecure = true ``` |
 |
117
Garphy 2022 年 10 月 19 日
不要脸就宇宙无敌了
|
 |
118
ariza 2022 年 10 月 19 日 via Android
有没有可能提出方案的人获得晋升了
|
 |
119
loolac 2022 年 10 月 19 日
拼多多骚操作真多啊
|
 |
120
pengyOne 2022 年 10 月 19 日
哈哈, 牛逼牛逼,我昨天也还在奇怪呢。
|
 |
121
Twnysta 2022 年 10 月 19 日
就是各大云服务的图片,最后才会跳转到拼夕夕自己
|
 |
124
jelinet 2022 年 10 月 19 日
哈哈哈哈,pdd 太骚了
|
 |
126
Lamlam147 2022 年 10 月 19 日
前段时间看到一个 url.cloud.huawei.com 的域名,当时还以为华为云提供了跳转服务
|
 |
127
dirtydeeds 2022 年 10 月 19 日
这也行,厉害厉害
|
 |
128
weeei 2022 年 10 月 19 日
cc.10010.com 是联通的在线客服服务,我觉得它可能是给机器人客服发了图片,然后拿到图片链接了。
|
 |
129
imtony 2022 年 10 月 19 日 via iPhone
“令人发指
|
 |
130
LuoboTixS 2022 年 10 月 20 日
够野。够卷。这就是 Growth Hacking 吗,爱了爱了
|
 |
131
js8510 2022 年 10 月 20 日
我想知道最先想出这个点子的大哥 年底拿了多少奖金
|
 |
132
liKeYunKeji 2022 年 10 月 20 日 1
@zml 跨站脚本算入侵,这种操作很多黑产都这么玩。前段时间我就拿到黑产的一个案例来做技术分析,得出的结果刚好就是与拼多多目前的操作相似。原理也很简单,用 Burp Suite 进行抓包并且中途修改请求参数来将 html 伪造成图片来上传就可以注入到服务器。
|
 |
133
Mzs 2022 年 10 月 20 日
今天面试 pdd 问了句 说自己的 不是高德的😂 具体没和我说
|
 |
134
dtdths1 2022 年 10 月 20 日
属实玩明白了
|
 |
135
flashpython 2023 年 3 月 10 日
@yuzo555 现在来看,我说是官方的问题,没问题吧?
|
Select Language