百度cpc联盟的漏洞?还是内鬼?
今天看一个网站时,看到一个很诱人的广告,习惯性的看下这是哪个站的广告,鼠标放上去,显示的 http://sky.wbn360.com/iclk/ 这样的点击链接。 一下引起我的兴趣了,最近在研究中易广告联盟程序的破解,这个就是用的中易的程序,于是想看看他的是否破解版。
查看网页源码,搜不到那个域名,整个页面源码里,只调用了一个baidu的js
<script type="text/javascript" src="http://cbjs.baidu.com/js/m.js"></script>
<script type="text/javascript">BAIDU_CLB_preloadSlots("279335", "232919", "233288", "233289", "233291","376104");
</script>
于是用 http analyze 截包。一跟发现了一个似乎比较惊人的事情。baidu 的cpc代码里竟然有第三方的js代码!
截包显示,浏览器先下载了:http://cbjs.baidu.com/js/m.js
然后打开了: http://cb.baidu.com/ecom?di=279335,232919,233288,233289,233291,376104&fn=BAIDU_CLB_ADDAD&tm=BAIDU_CLB_SETJSONADSLOT......
返回的内容一部分为:
BAIDU_CLB_ADDAD ({ "279335" : { "_stype" : 0, "_w" : 300, "_h" : 200, "_type" : "json_html", "_html" : {"content":"\x3cscript type=\"text\/javascript\"\x3e\x0a u_a_client=\"5386\";\x0a u_a_width=\"0\";\x0a u_a_height=\"0\";\x0a u_a_zones=\"43529\";\x0a u_a_type=\"1\"\x0a\x3c\/script\x3e\x0a\x3cscript src=\"http:\/\/js.6dad.com\/i.js\"\x3e\x3c\/script\x3e","type":"rich","version":1}, "_fxp" : true, "_sf" : false, "_st" : 0, "_top" : 0, "_left" : 0, "_hs" : 0, "_vs" : 0, "_bf" : false, "_isMlt" : 1, "_fr" : false, "_qid" : "7195f86219b27858", "_v" : 1 } });
content 里面的内容就是我比较熟悉的 中易 的CPC js广告代码,js链接是 http://js.6dad.com/i.js 。然后浏览器就会执行这段js代码,所以最终的广告的点击链接就不是baidu的了,而是js.6dad.com 自己完整控制的了。
各位看到这里应该明白了,baidu返回的这个广告,有人点击了,不是baidu的统计链接,会员得不到钱,并且这个广告的广告主也永远都不会被扣钱!!可以不花一分钱,白得流量。凭我搞广告这么久的知识,这应该不会是正常的。
出现这个情况,要么是baidu的联盟系统有漏洞,被人注入了;要么就是内鬼了,内部人员自己随便插入几个广告进系统,谁能知道。
继续研究了一下,另外两个广告位也是第三方js代码 http://code.345ads.com:81/i.js http://f.70e.com/f.asp 。 看到的这几个站,code.345ads.com,js.6dad.com,sky.wbn360.com 都用的中易广告联盟程序,根据我对这个程序的研究,看到了 code.345ads.com 绑定的 授权文件域名 竟然是 163ads.com 的,sky.wbn360.com 绑定的授权文件域名 也是 163ads.com 的。js.6dad.com 绑定的域名倒是 6dad.com,中易网站上客户名单里有他。
看来他们用的程序没有破解。如果破解了,就会改成自己的域名来绑定了。网上 下载到的破解版的 授权文件域名 是 www.ad8.cc 。这2个站竟然能拿到 163ads.com 的授权文件。两者之间似乎会有些关系。
code.345ads.com sky.wbn360.com 指向的空间 IP 都是 222.189.239.151 (江苏省扬州市 电信),2个域名都没有备案。 为什么别人能弄到不用备案的空间,我就死活找不到呢。自己弄了个中易程序开的站,还得放在国外。
百度cpc联盟的漏洞?还是内鬼?相关推荐
- 百度移动联盟(munion)-广告平台投放流程详细介绍 (绿色通道)
1. 百度平台官网介绍: http://hi.baidu.com/mobads/blog/ ... 1c7fc3bc3e1e2e.html 2. AdView 官网介绍: 为开发者提供"A ...
- android 插入 百度移动联盟 banner广告,百度移动应用广告盟联ane使用教程.docx
百度移动应用广告盟联ane使用教程 flash air使用百度移动广告联盟ane教程百度移动广告联盟ane是百度移动联盟广告sdk的flash air版本,可以给flash游戏添加百度移动广告.下面介 ...
- 百度有钱联盟邀请码有效期48小时
现在百度有钱联盟的邀请码设置了有效期,重领取到过期时间为48小时,这一修改,反而没有使的网推的渠道经理停止网推,还使得我们地推的经理在地推时更累,更难拉到技术员了,以前地推还可以把邀请码打印在传单上, ...
- 百度没钱了!百度有钱联盟平台暂停推广
百度没钱了!不会吧? 由于百度软件推广部门整体策略调整,百度有钱联盟平台暂停推广! 亲爱的百度有钱联盟地推技术员: 因公司整体策略调整,高层慎重决定.全体有钱平台全线产品暂时停止推广,有效结算时间截止 ...
- 百度百家号“漏洞”大曝光 一篇文章十几万阅读量 收入上万
越来越发现自媒体的好处,就是现在太多的平台都提供入口,基本是四大门户还有三大巨头互联网公司,百度.腾讯 .阿里都提供!那么接下来我要分享的是中国最大的搜索引擎公司-百度!,相信最近很多人都知道百度百家 ...
- 百度html编辑器 xss,百度ueditor编辑器-xss漏洞
百度ueditor编辑器 xss漏洞 一.漏洞简介 产品官网下载地址: 涉及版本:php , asp, jsp, net 二.漏洞影响 三.复现过程 漏洞分析 存在漏洞的文件:/php/getCont ...
- 百度移动联盟服务评测
详情请搜索devstore 集成过程 一 如何嵌入客户端SDK 申请应用的APPSID和计费名 在百度移动联盟网页上进行申请,详见 附件1 . 导入JAR包 将百度推广的jar包复制到您工程的Libs ...
- 百度广告联盟代码优化
作为一个小网站,在页面上放置各种广告是理所当然的事情.我们用百度联盟.以前是google的adsense.google在天朝自宫,自绝于中国人民以后,就貌似只能挑百度了. 然后作为一个小网站,在页面上 ...
- 如何做好百度广告联盟
前段时间因为我的Google Adsense帐户被关 ,我又在不停地找其它广告联盟.但是都是很不如意!百度第一次没有成功,第二次就成功了..呵很开心.以下是我从网上转来的! 如何做好百度广告联盟 网站 ...
- 360广告联盟对比百度广告联盟
前段时间使用了一下360的广告联盟,就360广告联盟对比百度广告联盟的使用发表一下个人感受在广告联盟骗子横行,时常扣量的时代了,百度广告联盟还行想到靠谱的,对于网站要备案就难难倒了一批个人站长,于是部 ...
最新文章
- 自动色阶、对比度、直方图均衡等算法的一些小改进
- linux c 笔记 文件(二)
- src与href的区别
- SAP采购中形成的差异
- php 应用宝支付,U8SDK——应用宝YSDK新的支付流程
- 用CURD来拯救前端的一切的一切
- 使用URLConnection获取网页信息的基本流程
- 青蛙换位java_青蛙换位
- 机器视觉:CMOS图像传感器
- 不小心删除数据--利用MySQL的binlog恢复数据
- 财富趋势招股书看点:研发中心在武汉 去年员工月均工资1.06万元
- OSAL操作系统抽象层
- hustoj搭建教程
- 程序员凌晨闲暇无聊时干什么
- 如何安装最新版本的office(preview预览版)、更新
- Android动画完全解析--属性动画
- HTML 提交表单,JQuery接收内容
- 【Ubuntu】Ubuntu更换主题
- 【DeepLearning】吴恩达深度学习课程笔记思维导图
- Yolov5模型使用教程
热门文章
- snmp trap 与snmp相关介绍、安装、命令以及Trap的发送与接收java实现
- Android音视频开发(一)音视频基础知识
- 一种传统发酵彝药有效抑制新冠病毒的复制体外研究
- Ubuntu16.04安装Hadoop2.7.3教程
- 使用POI创建PPT
- 语音数据集下载地址汇总| 免费的汉语说话人识别语料库 | Common Voice 数据集 | 下载总结
- python 爬虫——模拟登录古诗文网
- Windows安装curl及基本命令
- ArcGIS土地利用重分类(二)通过搭建模型高效完成重分类
- Neo4j(一):Neo4j的下载与安装