來自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發現���,如果web短網址服務采用了可預測性的操作�����,就可能會泄露網站的敏感信息。
專家們分析了主流的短網址服務����,其中包括Google、Bit.ly和微軟���。他們發現��,通過枚舉短網址����,可以發現網絡上的敏感信息。比如�����,研究人員就發現了指向微軟OneDrive文件夾(未經過加密)的短網址�。
Shmatikov在一篇博文中提到:
“由bit.ly和goo.gl以及類似的服務,因為太短可以被暴力枚舉和掃描����。我們的掃描結果發現了一大堆微軟OneDrive賬戶,以及里面的私人文檔���。它們中的許多都處于開放狀態��,任何人都可以向其中寫入惡意軟件����,用戶設備訪問之后就會自動下載�。”
專家們還發現�,短網址服務還可能泄露用戶的個人信息。
我們還發現了許多能泄露個人敏感信息的行車路線��,比如用戶去的那些醫療設施、監獄和成人場所�。
為此,他們寫出了一篇題為《六字符分析:短網址對云服務之害》的文章��。
谷歌和微軟將聯手推出新的更安全的短網址服務����,當然舊的服務仍然存在漏洞。
研究人員解釋��,短網址服務通過域名與一個五到七位的字符串組成���,但它的簡潔性和產生機制可以讓攻擊者進行爆破枚舉攻擊��。
Shmatikov解釋道:
“那些token字符串非常短����,所以url是可以被爆破枚舉的�����。實際上����,原本的長url是長期公開存在的。任何人只要花費一點耐心����,借助一些機器的運算就可以發現它們的蹤跡?����!?/p>
大概枚舉掃描一億的url后�����,專家發現超過110萬公開的OneDrive文件��,其中包括普通和可執行文件�。
在我們掃描的一億bit.ly短網址url樣本中,隨機選擇了6位字符串作為token的url��。其中���,有42%是指向有效存在的url地址的�����,而有19524的url指向了OneDrive / SkyDrive文化和文件夾�����,并且其中大部分都是可用的�。然而,這僅僅是個開始����。
在對谷歌短網址的隨機枚舉掃描過程中,專家們發現了在23965718個鏈接中��,有10%包含行車目的地的敏感信息�����,比如治病的醫院����、打胎的診所,甚至脫衣舞俱樂部���。
這表明,短網址服務可能會暴露敏感內容給第三方�,專家建議采取措施來限制自動枚舉掃描的行為。
專家提示:
“使用你自己的解析器和token����,而不是去使用bit.ly�����。并且��,我們需要檢測并限制相應的枚舉掃描行為�,考慮使用驗證碼等技術來阻止機器掃描���。最后��,設計一個更好的api�����,使得某個特定的url不會泄露用戶分享的其他url����?���!?/p>
網站建設
(編輯:小酷)
