短网址服务可能泄露你的敏感信息
来自Cornell Tech的安全研究员Vitaly Shmatikov和Martin Georgiev发现,如果web短网址服务采用了可预测性的操作,就可能会泄露网站的敏感信息。 专家们分析了主流的短网址服务,其中包括Google、Bit.ly和微软。他们发现,通过枚举短网址,可以发现网络上的敏感信息。比如,研究人员就发现了指向微软OneDrive文件夹(未经过加密)的短网址。 Shmatikov在一篇博文中提到:
专家们还发现,短网址服务还可能泄露用户的个人信息。 我们还发现了许多能泄露个人敏感信息的行车路线,比如用户去的那些医疗设施、监狱和成人场所。 为此,他们写出了一篇题为《六字符分析:短网址对云服务之害》的文章。 谷歌和微软将联手推出新的更安全的短网址服务,当然旧的服务仍然存在漏洞。 研究人员解释,短网址服务通过域名与一个五到七位的字符串组成,但它的简洁性和产生机制可以让攻击者进行爆破枚举攻击。 Shmatikov解释道:
大概枚举扫描一亿的url后,专家发现超过110万公开的OneDrive文件,其中包括普通和可执行文件。 在我们扫描的一亿bit.ly短网址url样本中,随机选择了6位字符串作为token的url。其中,有42%是指向有效存在的url地址的,而有19524的url指向了OneDrive / SkyDrive文化和文件夹,并且其中大部分都是可用的。然而,这仅仅是个开始。 在对谷歌短网址的随机枚举扫描过程中,专家们发现了在23965718个链接中,有10%包含行车目的地的敏感信息,比如治病的医院、打胎的诊所,甚至脱衣舞俱乐部。 这表明,短网址服务可能会暴露敏感内容给第三方,专家建议采取措施来限制自动枚举扫描的行为。 专家提示:
注:相关网站建设技巧阅读请移步到建站教程频道。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |