来自Cornell Tech的安全研究员Vitaly Shmatikov和Martin Georgiev发现,如果web短网址服务采用了可预测性的操三门峡网站建设公司作,就可能会泄露网站的敏感信息。
专家们分析了主流的短网址服务,其中包括Google、Bit.ly和微软。他们发现,通过枚举短网址,可以发现网络上的敏感信息。比如,研究人员就发现了指向微软OneDrive文件夹(未经过加密)的短网址。
Shmatikov在一篇博文中提到:
由bit.ly和goo.gl以及类似的服务,因为太短可以被暴力枚举和扫描。我们的扫描结果发现了一大堆微软OneDrive账户,以及里面的私人文档。它们中的许多都处于开放状态,任何人都可以向其中写入恶意软件,用户设备访问之后就会自动下载。
专家们还发现,短网址服务还可能泄露用户的个人信息。
我们还发现了许多马鞍山网站建设公司能泄露个人敏感信息的行车路线,比如用户去的那些医疗设施、监狱和成人场所。
为此,他们写出了一篇题为《六字符分析:短网址对云服务之害》的文章。
谷歌和微软将联手推出新的更安全的短网址服务,当然旧的服务仍然存在漏洞。
研究人员解释,短网址服务通过域名与一个五到七位的字符串组成,但它的简洁性和产生机制可以让攻击者进行爆破枚举攻击。
Shmatikov解释道:
那些token字符串非常短,所以url是可以被爆破枚举的。实际上,原本的长url是长期公开存在的。任何人只要花费一点耐心,借助一些机器的运算就可以发现它们的踪迹。
大概枚举扫描一亿的url后,专家发现超过110万公开的OneDrive文件,其中包括普通和可执行文件。
在我们扫描的一亿bit.ly短网址url样本中,随机选择了6位字符串作为token的url。其中,有42%是指向有效存在的url地址的,而有19524的url指向了OneDrive / SkyDrive文化和文件夹,并且其中大部分都是茶网站设计可用的。然而,这仅仅是个开始。
在对谷歌短网址的随机枚举扫描过程中,专家们发现了在23965718个链接中,有10%包含行车目的地的敏感信息,比如治病的医院、打胎的诊所,甚至上海普陀区网站建设公司脱衣舞俱乐部。
这表明,短网址服务可能会暴露敏感内容给第三方,专家建议采取措施来限制自动枚举扫描的行为。
专家提示:
使用你自己的解析器和token,而不是去使用bit.ly。并且,我们需要检测并限制相应的枚举扫描行为,考虑使用验证码等技术来阻止机器扫描。最后,设计一个更好的api,使得某个特定的url不会泄露用户分享的其他url。
南京牧狼文化传媒有限公司简介:
牧狼传媒,牧者之心,狼者之性,以牧之谦卑宽容之心待人,以狼之团结无畏之性做事!
公司注册资金100万,主营众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放以及电商营销推广全案等相关业务,致力于为客户提供更有价值的服务,创造让用户满意的效果!
为百度官方及其大客户、苏宁易购、金山WPS秀堂、美的、创维家电、新东方在线、伊莱克斯、宝丽莱等国内国外知名品牌服务过,服务经验丰富!同时,公司也是南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位,可以为您提供更好的服务!
主营项目:众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放、竞价托管、网站优化、电商代运营等
合作客户:百度、苏宁易购、饿了么、美的、创维家电、新东方在线、宝丽莱、金山WPS秀堂、伊莱克斯
资质荣誉:百度商业服务市场2017年度最佳图片服务商、南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位、八戒通TOP服务商、"易拍即合杯"H5创意大赛"三等奖"。