拼多多是怎么做到分享的助力链接域名不是自己的呢?

2022-10-17 17:55:16 +08:00
 xiaodongxier
经常收到朋友发的拼多多助力,无意间发现一个问题,就是拼多多是怎么做到分享的助力链接域名不是自己的呢?

1. https://surl.amap.com/mxNiRlg1d3z
2. https://cc.10010.com/cs/ccc/online/sns/api/view/a61317f05a9e4171986bb845ab4922ce

比如:
上面的第 1 个链接,域名是高德地图的
上面的第 2 个链接,域名是联通营业厅的
30930 次点击
所在节点    程序员
135 条回复
Erroad
2022-10-18 15:56:47 +08:00
@yuzo555 #42 我经常跟姑姑阿姨玩这些,可以确认是的
xinyu198736
2022-10-18 16:36:44 +08:00
这明显是破坏计算机信息系统罪
Ansen
2022-10-18 16:43:54 +08:00
感觉并不需要上传图片,纯粹的用 三厂域名接随机字符作为 token 伪装成 url 就可以了

比如: http://www.qq.com/3wnmJOBtGLOIiUx

后面的 3wnmJOBtGLOIiUx 就是实际的 token
programMrxu
2022-10-18 17:10:26 +08:00
看样子拼多多后台很厉害喽
neroxps
2022-10-18 17:15:56 +08:00
理论上,他随便搞个其他域名 url 都可以吧。

恍惚在背后听见 PDD 对微信说:“你封啊,你限制复制口令啊,让你限制啊,来啊~”
raysonlu
2022-10-18 17:28:37 +08:00
@PqZS58MLPBHFpEqm Referer
weakish
2022-10-18 17:34:50 +08:00
@Ansen 我從來沒有用過拼多多助力。不過我猜偽裝 URL 的缺點是很多人會直接點,然後 404 。如果是短鏈接和圖片的話,就可以引導用戶複製鏈接、打開拼多多應用。
summerLast
2022-10-18 18:00:48 +08:00
@PqZS58MLPBHFpEqm 看看是不是 Referer
jefferylong
2022-10-18 19:41:55 +08:00
前两天还看到挺骚的一个链接,大家可以看看

https://openai.weixin.qq.com/webapp/h774yvzC2xlB4bIgGfX2stc4kvC85J?robotName=%E5%A4%8D%E5%88%B6%E9%93%BE%E6%8E%A5%E6%89%93%E5%BC%80%E6%8B%BC%E5%A4%9A%E5%A4%9A--%3E%3E&21F4A8B=iwQAOLd8ix1AL2z&hc_pmc=2911532469336
paledream
2022-10-18 19:50:52 +08:00
@jefferylong 主页是微信对话开放平台,这个看上去没问题,接入了算是正常利用吧
jefferylong
2022-10-18 19:57:04 +08:00
@paledream 是的,直接复制打开拼多多也可以去助力
zml
2022-10-18 20:35:43 +08:00
@pytth 就像楼主这个举例,跨站脚本怎么能传到高德和 163 ?不解。这算入侵?
zml
2022-10-18 20:38:07 +08:00
@neroxps 张小龙:我狠起来可是连*.qq.com 都封的。
fengmk2
2022-10-18 20:52:37 +08:00
@jefferylong 微信自己都被攻陷
H0u5er
2022-10-18 21:15:35 +08:00
火狐浏览器的 network.http.sendRefererHeader 参数改成 0 ,禁用 Referer ,即可正常转跳链接 2 ,但同时会导致 V 站无法正常登陆。

本隐私怪附上一些我调教过的浏览器参数

```
identity.fxaccounts.enabled = false
beacon.enabled = false
dom.battery.enabled = false
dom.event.clipboardevents.enabled = false
geo.enabled = false
media.eme.enabled = false
media.navigator.enabled = false
media.peerconnection.enabled = false // Disable WebRTC
privacy.firstparty.isolate = true
privacy.resistFingerprinting = true. // user agent changed
privacy.trackingprotection.enabled = true
webgl.disabled = true
privacy.trackingprotection.cryptomining.enabled = true
privacy.trackingprotection.fingerprinting.enabled = true
Privacy->Third Party Cookies->All third party cookies // on the browser setting
Privacy->Cookies->Block cookies and site data: All third party // on the browser setting
Privacy->Cookies->Keep until: Firefox is closed // on the browser setting
privacy.clearOnShutdown.cookies: true
network.cookie.cookieBehavior: 1
network.cookie.lifetimePolicy: 2 // on the browser setting
network.cookie.thirdparty.sessionOnly: true
network.cookie.thirdparty.nonsecureSessionOnly: true
network.trr.mode = 3
network.dns.echconfig.enabled = true
network.dns.http3_echconfig.enabled = true
network.dns.use_https_rr_as_altsvc = true
network.dns.disablePrefetch = true
network.http.sendRefererHeader = 0. // but i set as "1" since cannot visit V2EX after change
network.prefetch-next = false
network.cookie.sameSite.laxByDefault = true
network.cookie.sameSite.noneRequiresSecure = true
```
Exdui
2022-10-18 21:22:13 +08:00
@Ansen #103 随意拼接的链接,接收方无法打开链接,也不知道怎么操作;上传图片主要是引导作用,接收方点开就知道如何操作。
Garphy
2022-10-19 00:02:48 +08:00
不要脸就宇宙无敌了
ariza
2022-10-19 00:09:31 +08:00
有没有可能提出方案的人获得晋升了
loolac
2022-10-19 08:32:21 +08:00
拼多多骚操作真多啊
pengyOne
2022-10-19 09:13:59 +08:00
哈哈, 牛逼牛逼,我昨天也还在奇怪呢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/887582

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX