短网址服务可能泄露你的敏感信息

来自Cornell Tech的安全研究员Vitaly Shmatikov和Martin Georgiev发现，如果web短网址服务采用了可预测性的操作，就可能会泄露网站的敏感信息。

专家们分析了主流的短网址服务，其中包括Google、Bit.ly和微软。他们发现，通过枚举短网址，可以发现网络上的敏感信息。比如，研究人员就发现了指向微软OneDrive文件夹（未经过加密）的短网址。

Shmatikov在一篇博文中提到：

“由bit.ly和goo.gl以及类似的服务，因为太短可以被暴力枚举和扫描。我们的扫描结果发现了一大堆微软OneDrive账户，以及里面的私人文档。它们中的许多都处于开放状态，任何人都可以向其中写入恶意软件，用户设备访问之后就会自动下载。”

专家们还发现，短网址服务还可能泄露用户的个人信息。

我们还发现了许多能泄露个人敏感信息的行车路线，比如用户去的那些医疗设施、监狱和成人场所。

为此，他们写出了一篇题为《六字符分析：短网址对云服务之害》的文章。

谷歌和微软将联手推出新的更安全的短网址服务，当然旧的服务仍然存在漏洞。

研究人员解释，短网址服务通过域名与一个五到七位的字符串组成，但它的简洁性和产生机制可以让攻击者进行爆破枚举攻击。

Shmatikov解释道：

“那些token字符串非常短，所以url是可以被爆破枚举的。实际上，原本的长url是长期公开存在的。任何人只要花费一点耐心，借助一些机器的运算就可以发现它们的踪迹。”

大概枚举扫描一亿的url后，专家发现超过110万公开的OneDrive文件，其中包括普通和可执行文件。

在我们扫描的一亿bit.ly短网址url样本中，随机选择了6位字符串作为token的url。其中，有42%是指向有效存在的url地址的，而有19524的url指向了OneDrive / SkyDrive文化和文件夹，并且其中大部分都是可用的。然而，这仅仅是个开始。

在对谷歌短网址的随机枚举扫描过程中，专家们发现了在23965718个链接中，有10%包含行车目的地的敏感信息，比如治病的医院、打胎的诊所，甚至脱衣舞俱乐部。

这表明，短网址服务可能会暴露敏感内容给第三方，专家建议采取措施来限制自动枚举扫描的行为。

专家提示：

“使用你自己的解析器和token，而不是去使用bit.ly。并且，我们需要检测并限制相应的枚举扫描行为，考虑使用验证码等技术来阻止机器扫描。最后，设计一个更好的api，使得某个特定的url不会泄露用户分享的其他url。”

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有