绝密版本:防护恶意网址用短链接欺骗的对策

随着微博的快速发展,微博用户数量呈爆炸式增长,微博用户间的信息传播、信息分享较之传统的网络形式进一步加速,所分享的内容也呈多样化趋势,使得短链接生成器活跃起来。因为微博内容一般都有字数限制,较长的URL 地址会挤压正文的空间。

短链接生成器

而短链接生成器正好解决了这种问题,借助短链接生成器可以用简短的网址替代原来冗长的网址,给用户留下更多的正文空间。在方便微博分享的同时,短链接也带来了一定的安全隐患。因为网址缩短后无法了解该网页的内容,致使用户完全无法辨认其是否具有危险。如果黑客将网页木马地址或者钓鱼网站地址通过短链接变形的方式直接发送在 Q Q 群、微博或是网页中诱骗用户点击,就可能带来安全危害。
为此,需要对短链接恶意网址欺骗进行防御,维护用户安全。在长网址的恶意链接检测的基础上,针对恶意短链接,分别从用户和短链接服务端角度提出了所应当采取的安全措施。

短链接浏览模式下,相应的安全防护也应当做出相应的调整。应当改进客户端的防护方式,增加短链接生成器的安全防护。

短链接安全检测

对短链接的安全监测,首先要先将短链接重新转化为长网址,再进行检测活动。实现的基本原理是通过向短链接服务端提交数据包并接收返回的信息,查看相应的重定向地址。

\"短网址\"
互联网上有网站能够提供重定向的检测,例如 http://www.xxx.org,以 http://mrw.so 为例,对其进行短链接转换得到 http://mrw.so/x。通过提交 http://xxx.org/expand ?url=http% 3A% 2F% 2Fis.gd% 2Fw,可以看到最后得到的地址为 http://mrw.so ,其中进行了2 次重定向,第一次重定向到了http://mrw.so ,第二次到http://www.mrw.so ,至此不再重定向。xxx网站在对支持的短链接网站进行长地址还原时,进行了递归还原,直到得到的网址不再重定向或者出现不支持还原的短链接。xxx网址还提供了火狐浏览器的短链接转换的插件。通过加载该插件,就能在发现短链接时得到还原服务,得到还原后的长地址。

1、客户端的改进办法

1)直接还原

直接还原是指用户通过安装浏览器插件或其他方式,直接读取出重定向的网站,再进行恶意地址检测。如刚提到的xxx网址提供的插件。

虽然目前短链接的重定向方式大多采取了301,302 的方式,但是仍有少部分采取其他重定向办法,该方法具有一定的通用性,但对某些特殊重定向无法进行解析。

2)加强拦截

加强拦截是指用户不考虑短链接还原,使用具有恶意网址拦截功能的安全软件,直接点击短链接进行访问。加载了恶意网址拦截功能的浏览器在访问短链接,进行重定向的过程中,对每次重定向的网址都会进行一次黑名单检测,当重定向的网址为黑名单中的恶意网址时,将会阻止浏览器进一步加载网页,并对用户做出安全提示。

例如 360 网盾就内置了拦截欺诈和木马网站的功能,在早期版本中通过本地的恶意网址库进行黑名单检测,最新的版本则通过云端的恶意地址库进行检测。

该方法较为安全,但由于浏览器每访问一个新的网址,都可能需要得到判定信息后才能断定网页是否安全,是否允许加载,将会影响到用户的浏览体验。

2、 短链接生成器防护

1)恶意地址检测及后台管理

加入恶意地址检测功能是指在短链接生成器在收到短链接服务请求时,对长网址进行恶意地址检测,对恶意地址不提供转短,或转短不还原。

金山云安全就提供了恶意网址检测的 A PI接口。短链接网站管理员可以利用其接口进行安全检测,查询某个 U R L 的安全情况。

目前金山网址云安全 API支持的功能包括 :

(1)查询一个 URL 是否是钓鱼欺诈网站;

(2)查询一个下载 U R L 是否属于病毒、木马、恶意软件下载链接。

管理员还可以在系统后台进行短链接管理,对网站中所有涉及到的链接进行统一管理,加强对非法、恶意链接的屏蔽隔离能力,进一步提升网站的安全服务能力。管理员根据已知的关键字和内容的过滤规则,通过查看长网址的标题、关键字、域名等信息,将短链接进行封禁解禁操作,以此来屏蔽一部分内容可能涉及色情、暴力的非法、恶意网页。