ft12短網(wǎng)址服務(wù)官網(wǎng)登錄入口:www.ft12.com

www.ft12.com 為您提供：,短網(wǎng)址程序,短網(wǎng)址服務(wù),短網(wǎng)址轉(zhuǎn)換,短網(wǎng)址API接口,短鏈接生成器,批量生成短鏈接,短網(wǎng)址生成,壓縮所有網(wǎng)址包括圖片、flash、mp3、rar等所有互聯(lián)網(wǎng)地址，專業(yè)的網(wǎng)址縮短網(wǎng)站！

來自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發(fā)現(xiàn)，如果web短網(wǎng)址服務(wù)采用了可預(yù)測性的操作，就可能會(huì)泄露網(wǎng)站的敏感信息。

專家們分析了主流的短網(wǎng)址服務(wù)，其中包括Google、Bit.ly和微軟。他們發(fā)現(xiàn)，通過枚舉短網(wǎng)址，可以發(fā)現(xiàn)網(wǎng)絡(luò)上的敏感信息。比如，研究人員就發(fā)現(xiàn)了指向微軟OneDrive文件夾（未經(jīng)過加密）的短網(wǎng)址。

Shmatikov在一篇博文中提到：

“由bit.ly和goo.gl以及類似的服務(wù)，因?yàn)樘炭梢员槐┝γ杜e和掃描。我們的掃描結(jié)果發(fā)現(xiàn)了一大堆微軟OneDrive賬戶，以及里面的私人文檔。它們中的許多都處于開放狀態(tài)，任何人都可以向其中寫入惡意軟件，用戶設(shè)備訪問之后就會(huì)自動(dòng)下載。”

專家們還發(fā)現(xiàn)，短網(wǎng)址服務(wù)還可能泄露用戶的個(gè)人信息。

我們還發(fā)現(xiàn)了許多能泄露個(gè)人敏感信息的行車路線，比如用戶去的那些醫(yī)療設(shè)施、監(jiān)獄和成人場所。

為此，他們寫出了一篇題為《六字符分析：短網(wǎng)址對云服務(wù)之害》的文章。

谷歌和微軟將聯(lián)手推出新的更安全的短網(wǎng)址服務(wù)，當(dāng)然舊的服務(wù)仍然存在漏洞。

研究人員解釋，短網(wǎng)址服務(wù)通過域名與一個(gè)五到七位的字符串組成，但它的簡潔性和產(chǎn)生機(jī)制可以讓攻擊者進(jìn)行爆破枚舉攻擊。

Shmatikov解釋道：

“那些token字符串非常短，所以url是可以被爆破枚舉的。實(shí)際上，原本的長url是長期公開存在的。任何人只要花費(fèi)一點(diǎn)耐心，借助一些機(jī)器的運(yùn)算就可以發(fā)現(xiàn)它們的蹤跡。”

大概枚舉掃描一億的url后，專家發(fā)現(xiàn)超過110萬公開的OneDrive文件，其中包括普通和可執(zhí)行文件。

在我們掃描的一億bit.ly短網(wǎng)址url樣本中，隨機(jī)選擇了6位字符串作為token的url。其中，有42%是指向有效存在的url地址的，而有19524的url指向了OneDrive / SkyDrive文化和文件夾，并且其中大部分都是可用的。然而，這僅僅是個(gè)開始。

在對谷歌短網(wǎng)址的隨機(jī)枚舉掃描過程中，專家們發(fā)現(xiàn)了在23965718個(gè)鏈接中，有10%包含行車目的地的敏感信息，比如治病的醫(yī)院、打胎的診所，甚至脫衣舞俱樂部。

這表明，短網(wǎng)址服務(wù)可能會(huì)暴露敏感內(nèi)容給第三方，專家建議采取措施來限制自動(dòng)枚舉掃描的行為。

專家提示：

“使用你自己的解析器和token，而不是去使用bit.ly。并且，我們需要檢測并限制相應(yīng)的枚舉掃描行為，考慮使用驗(yàn)證碼等技術(shù)來阻止機(jī)器掃描。最后，設(shè)計(jì)一個(gè)更好的api，使得某個(gè)特定的url不會(huì)泄露用戶分享的其他url�！�