www.ft12.com 為您提供:,短網址程序,短網址服務,短網址轉換,短網址API接口,短鏈接生成器,批量生成短鏈接,短網址生成,壓縮所有網址包括圖片、flash、mp3、rar等所有互聯網地址,專業(yè)的網址縮短網站!
來自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發(fā)現,如果web短網址服務采用了可預測性的操作,就可能會泄露網站的敏感信息。
專家們分析了主流的短網址服務,其中包括Google、Bit.ly和微軟。他們發(fā)現,通過枚舉短網址,可以發(fā)現網絡上的敏感信息。比如,研究人員就發(fā)現了指向微軟OneDrive文件夾(未經過加密)的短網址。
Shmatikov在一篇博文中提到:
“由bit.ly和goo.gl以及類似的服務,因為太短可以被暴力枚舉和掃描。我們的掃描結果發(fā)現了一大堆微軟OneDrive賬戶,以及里面的私人文檔。它們中的許多都處于開放狀態(tài),任何人都可以向其中寫入惡意軟件,用戶設備訪問之后就會自動下載!
專家們還發(fā)現,短網址服務還可能泄露用戶的個人信息。
我們還發(fā)現了許多能泄露個人敏感信息的行車路線,比如用戶去的那些醫(yī)療設施、監(jiān)獄和成人場所。
為此,他們寫出了一篇題為《六字符分析:短網址對云服務之害》的文章。
谷歌和微軟將聯手推出新的更安全的短網址服務,當然舊的服務仍然存在漏洞。
研究人員解釋,短網址服務通過域名與一個五到七位的字符串組成,但它的簡潔性和產生機制可以讓攻擊者進行爆破枚舉攻擊。
Shmatikov解釋道:
“那些token字符串非常短,所以url是可以被爆破枚舉的。實際上,原本的長url是長期公開存在的。任何人只要花費一點耐心,借助一些機器的運算就可以發(fā)現它們的蹤跡!
大概枚舉掃描一億的url后,專家發(fā)現超過110萬公開的OneDrive文件,其中包括普通和可執(zhí)行文件。
在我們掃描的一億bit.ly短網址url樣本中,隨機選擇了6位字符串作為token的url。其中,有42%是指向有效存在的url地址的,而有19524的url指向了OneDrive / SkyDrive文化和文件夾,并且其中大部分都是可用的。然而,這僅僅是個開始。
在對谷歌短網址的隨機枚舉掃描過程中,專家們發(fā)現了在23965718個鏈接中,有10%包含行車目的地的敏感信息,比如治病的醫(yī)院、打胎的診所,甚至脫衣舞俱樂部。
這表明,短網址服務可能會暴露敏感內容給第三方,專家建議采取措施來限制自動枚舉掃描的行為。
專家提示:
“使用你自己的解析器和token,而不是去使用bit.ly。并且,我們需要檢測并限制相應的枚舉掃描行為,考慮使用驗證碼等技術來阻止機器掃描。最后,設計一個更好的api,使得某個特定的url不會泄露用戶分享的其他url!