ft12短網(wǎng)址服務(wù)官網(wǎng)登錄入口:www.ft12.com

思而思學(xué)網(wǎng)

www.ft12.com 為您提供:,短網(wǎng)址程序,短網(wǎng)址服務(wù),短網(wǎng)址轉(zhuǎn)換,短網(wǎng)址API接口,短鏈接生成器,批量生成短鏈接,短網(wǎng)址生成,壓縮所有網(wǎng)址包括圖片、flash、mp3、rar等所有互聯(lián)網(wǎng)地址,專業(yè)的網(wǎng)址縮短網(wǎng)站!

來自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發(fā)現(xiàn),如果web短網(wǎng)址服務(wù)采用了可預(yù)測性的操作,就可能會泄露網(wǎng)站的敏感信息。

專家們分析了主流的短網(wǎng)址服務(wù),其中包括Google、Bit.ly和微軟。他們發(fā)現(xiàn),通過枚舉短網(wǎng)址,可以發(fā)現(xiàn)網(wǎng)絡(luò)上的敏感信息。比如,研究人員就發(fā)現(xiàn)了指向微軟OneDrive文件夾(未經(jīng)過加密)的短網(wǎng)址。

Shmatikov在一篇博文中提到:

“由bit.ly和goo.gl以及類似的服務(wù),因為太短可以被暴力枚舉和掃描。我們的掃描結(jié)果發(fā)現(xiàn)了一大堆微軟OneDrive賬戶,以及里面的私人文檔。它們中的許多都處于開放狀態(tài),任何人都可以向其中寫入惡意軟件,用戶設(shè)備訪問之后就會自動下載。”

專家們還發(fā)現(xiàn),短網(wǎng)址服務(wù)還可能泄露用戶的個人信息。

我們還發(fā)現(xiàn)了許多能泄露個人敏感信息的行車路線,比如用戶去的那些醫(yī)療設(shè)施、監(jiān)獄和成人場所。

為此,他們寫出了一篇題為《六字符分析:短網(wǎng)址對云服務(wù)之害》的文章。

谷歌和微軟將聯(lián)手推出新的更安全的短網(wǎng)址服務(wù),當(dāng)然舊的服務(wù)仍然存在漏洞。

研究人員解釋,短網(wǎng)址服務(wù)通過域名與一個五到七位的字符串組成,但它的簡潔性和產(chǎn)生機(jī)制可以讓攻擊者進(jìn)行爆破枚舉攻擊。

Shmatikov解釋道:

“那些token字符串非常短,所以url是可以被爆破枚舉的。實際上,原本的長url是長期公開存在的。任何人只要花費一點耐心,借助一些機(jī)器的運算就可以發(fā)現(xiàn)它們的蹤跡!

大概枚舉掃描一億的url后,專家發(fā)現(xiàn)超過110萬公開的OneDrive文件,其中包括普通和可執(zhí)行文件。

在我們掃描的一億bit.ly短網(wǎng)址url樣本中,隨機(jī)選擇了6位字符串作為token的url。其中,有42%是指向有效存在的url地址的,而有19524的url指向了OneDrive / SkyDrive文化和文件夾,并且其中大部分都是可用的。然而,這僅僅是個開始。

在對谷歌短網(wǎng)址的隨機(jī)枚舉掃描過程中,專家們發(fā)現(xiàn)了在23965718個鏈接中,有10%包含行車目的地的敏感信息,比如治病的醫(yī)院、打胎的診所,甚至脫衣舞俱樂部。

這表明,短網(wǎng)址服務(wù)可能會暴露敏感內(nèi)容給第三方,專家建議采取措施來限制自動枚舉掃描的行為。

專家提示:

“使用你自己的解析器和token,而不是去使用bit.ly。并且,我們需要檢測并限制相應(yīng)的枚舉掃描行為,考慮使用驗證碼等技術(shù)來阻止機(jī)器掃描。最后,設(shè)計一個更好的api,使得某個特定的url不會泄露用戶分享的其他url。”

熱門推薦

最新文章