随着微博的快速发展,微博用户数量呈爆炸式增长,微博用户间的信息传播、信息分享较之传统的网络形式进一步加速,所分享的内容也呈多样化趋势,使得短链接生成器活跃起来。因为微博内容一般都有字数限制,较长的URL 地址会挤压正文的空间。
而短链接生成器正好解决了这种问题,借助短链接生成器可以用简短的网址替代原来冗长的网址,给用户留下更多的正文空间。在方便微博分享的同时,短链接也带来了一定的安全隐患。因为网址缩短后无法了解该网页的内容,致使用户完全无法辨认其是否具有危险。如果黑客将网页木马地址或者钓鱼网站地址通过短链接变形的方式直接发送在 Q Q 群、微博或是网页中诱骗用户点击,就可能带来安全危害。
为此,需要对短链接恶意网址欺骗进行防御,维护用户安全。在长网址的恶意链接检测的基础上,针对恶意短链接,分别从用户和短链接服务端角度提出了所应当采取的安全措施。
短链接浏览模式下,相应的安全防护也应当做出相应的调整。应当改进客户端的防护方式,增加短链接生成器的安全防护。
对短链接的安全监测,首先要先将短链接重新转化为长网址,再进行检测活动。实现的基本原理是通过向短链接服务端提交数据包并接收返回的信息,查看相应的重定向地址。
1、客户端的改进办法
1)直接还原
直接还原是指用户通过安装浏览器插件或其他方式,直接读取出重定向的网站,再进行恶意地址检测。如刚提到的xxx网址提供的插件。
虽然目前短链接的重定向方式大多采取了301,302 的方式,但是仍有少部分采取其他重定向办法,该方法具有一定的通用性,但对某些特殊重定向无法进行解析。
2)加强拦截
加强拦截是指用户不考虑短链接还原,使用具有恶意网址拦截功能的安全软件,直接点击短链接进行访问。加载了恶意网址拦截功能的浏览器在访问短链接,进行重定向的过程中,对每次重定向的网址都会进行一次黑名单检测,当重定向的网址为黑名单中的恶意网址时,将会阻止浏览器进一步加载网页,并对用户做出安全提示。
例如 360 网盾就内置了拦截欺诈和木马网站的功能,在早期版本中通过本地的恶意网址库进行黑名单检测,最新的版本则通过云端的恶意地址库进行检测。
该方法较为安全,但由于浏览器每访问一个新的网址,都可能需要得到判定信息后才能断定网页是否安全,是否允许加载,将会影响到用户的浏览体验。
2、 短链接生成器防护
1)恶意地址检测及后台管理
加入恶意地址检测功能是指在短链接生成器在收到短链接服务请求时,对长网址进行恶意地址检测,对恶意地址不提供转短,或转短不还原。
金山云安全就提供了恶意网址检测的 A PI接口。短链接网站管理员可以利用其接口进行安全检测,查询某个 U R L 的安全情况。
目前金山网址云安全 API支持的功能包括 :
(1)查询一个 URL 是否是钓鱼欺诈网站;
(2)查询一个下载 U R L 是否属于病毒、木马、恶意软件下载链接。
管理员还可以在系统后台进行短链接管理,对网站中所有涉及到的链接进行统一管理,加强对非法、恶意链接的屏蔽隔离能力,进一步提升网站的安全服务能力。管理员根据已知的关键字和内容的过滤规则,通过查看长网址的标题、关键字、域名等信息,将短链接进行封禁解禁操作,以此来屏蔽一部分内容可能涉及色情、暴力的非法、恶意网页。
2)拒绝外部短链接的请求
在上述安全措施的基础上,短链接网站还应当拒绝其他短链接的再转换请求,因为外部短链接将会影响到恶意地址的检测,妨碍网站对链接的统一管理。
一般短链接的组成:短链接网站的域名 +”/”+ 短码。
短链接网站在接受转短请求时,可以通过正则表达式对请求的网址进行匹配,如果符合短链接的正则表达式,则拒绝转短请求。还可以将不安全的短链接网站加入黑名单中。
3)做好服务器安全
做好服务器的安全是为了防止黑客的攻击,对网站进行篡改。360 网站安全中心是面向站长,提供对网站的整体检测的网站。安全中心对网站进行全面扫描,对网站的安全性进行分级并出示详细的安全评估报告。
现在,越来越多的人开通了自己的微博,短链接的使用也越来越频繁。用户必须提高安全意识,使用能够还原短链接到完整 U R L 地址进行恶意地址检测的安全组件,使用采用了安全机制的短链接服务,比如980短链接生成器安装有网站安全和网址过滤,有效阻挡恶意链接的传播。