短网址的攻击与防御mrw.so

作为当代文明冲浪者,对短网址已经格外熟悉。其起源于一些具有字数限制的微博等服务,现在广泛用于短信、邮件中。据不完全统计,使用了第三方或自身提供的短链接服务的厂商占到了80%。但短链接的安全问题似乎很少有人关注。
 
短地址服务可以提供一个非常短小的URL以代替原来的可能较长的URL,将长的URL地址缩短。用户访问缩短后的URL时,通常将会重定向到原来的URL。
 短网址的攻击与防御
腾讯 Blade 团队的彦修团队分析了GITHUB上star数最多的10个短网址开源项目,其转换算法大致分为进制算法、HASH算法和随机数算法三类。根据算法进行攻击猜想与测试,爆破实践得到了个人信息、合同信息、密码信息等信息。
 
扩展短网址攻击面远不止如此,随着应用越来越广泛,远程访问功能在过滤不严谨的情况下会造成SSRF;获取TITLE功能和展示长网址页面,在过滤不严谨的情况下造成XSS。
 
当然,在这里我提出了几招补救措施,比如:
1、增加单IP访问频率和单IP访问总量的限制,超过阈值进行封禁;
2、对包含权限、敏感信息的短网址进行过期处理;
3、对包含权限、敏感信息的长网址增加二次鉴权。
4、不利用短网址服务转化任何包含敏感信息、权限的长网址;
5、尽量避免使用明文token等认证方式。