來自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發(fā)現(xiàn),如果web短網(wǎng)址服務(wù)采用了可預(yù)測性的操作,就可能會泄露網(wǎng)站的敏感信息。
專家們分析了主流的短網(wǎng)址服務(wù),其中包括Google、Bit.ly和微軟。他們發(fā)現(xiàn),通過枚舉短網(wǎng)址,可以發(fā)現(xiàn)網(wǎng)絡(luò)上的敏感信息。比如,研究人員就發(fā)現(xiàn)了指向微軟OneDrive文件夾(未經(jīng)過加密)的短網(wǎng)址。
Shmatikov在一篇博文中提到:
“由bit.ly和goo.gl以及類似的服務(wù),因?yàn)樘炭梢员槐┝γ杜e和掃描。我們的掃描結(jié)果發(fā)現(xiàn)了一大堆微軟OneDrive賬戶,以及里面的私人文檔。它們中的許多都處于開放狀態(tài),任何人都可以向其中寫入惡意軟件,用戶設(shè)備訪問之后就會自動下載。”
專家們還發(fā)現(xiàn),短網(wǎng)址服務(wù)還可能泄露用戶的個(gè)人信息。
我們還發(fā)現(xiàn)了許多能泄露個(gè)人敏感信息的行車路線,比如用戶去的那些醫(yī)療設(shè)施、監(jiān)獄和成人場所。
為此,他們寫出了一篇題為《六字符分析:短網(wǎng)址對云服務(wù)之害》的文章。
谷歌和微軟將聯(lián)手推出新的更安全的短網(wǎng)址服務(wù),當(dāng)然舊的服務(wù)仍然存在漏洞。
研究人員解釋,短網(wǎng)址服務(wù)通過域名與一個(gè)五到七位的字符串組成,但它的簡潔性和產(chǎn)生機(jī)制可以讓攻擊者進(jìn)行爆破枚舉攻擊。
Shmatikov解釋道:
“那些token字符串非常短,所以url是可以被爆破枚舉的。實(shí)際上,原本的長url是長期公開存在的。任何人只要花費(fèi)一點(diǎn)耐心,借助一些機(jī)器的運(yùn)算就可以發(fā)現(xiàn)它們的蹤跡。”
大概枚舉掃描一億的url后,專家發(fā)現(xiàn)超過110萬公開的OneDrive文件,其中包括普通和可執(zhí)行文件。
在我們掃描的一億bit.ly短網(wǎng)址url樣本中,隨機(jī)選擇了6位字符串作為token的url。其中,有42%是指向有效存在的url地址的,而有19524的url指向了OneDrive / SkyDrive文化和文件夾,并且其中大部分都是可用的。然而,這僅僅是個(gè)開始。
在對谷歌短網(wǎng)址的隨機(jī)枚舉掃描過程中,專家們發(fā)現(xiàn)了在23965718個(gè)鏈接中,有10%包含行車目的地的敏感信息,比如治病的醫(yī)院、打胎的診所,甚至脫衣舞俱樂部。
這表明,短網(wǎng)址服務(wù)可能會暴露敏感內(nèi)容給第三方,專家建議采取措施來限制自動枚舉掃描的行為。
專家提示:
“使用你自己的解析器和token,而不是去使用bit.ly。并且,我們需要檢測并限制相應(yīng)的枚舉掃描行為,考慮使用驗(yàn)證碼等技術(shù)來阻止機(jī)器掃描。最后,設(shè)計(jì)一個(gè)更好的api,使得某個(gè)特定的url不會泄露用戶分享的其他url。”
京公網(wǎng)安備 11010502049343號