6月25日消息,隨著微博的盛行,短鏈接也漸漸被廣大網民們所熟識。但是,短鏈接是通過什么原理實現的呢?在短鏈接帶來便利的同時又是否會帶來安全隱患呢?為此,瑞星安全專家唐威提醒用戶,一定要注意短鏈接安全。
通俗地講,短鏈接就是將較長的URL地址,通過特定的算法轉換為簡短的網址字符串。早期,短鏈接并沒有像現在網絡環境中這么流行,當時它主要應用在圖片上傳網站中,上傳站通過特定的算法縮短URL鏈接地址,達到減少代碼字符數的目的。這樣,使用者就可以在有字符數限制的網站中,運用短鏈接達到外鏈圖片的目的。
然而,隨著微博的盛行,短鏈接也漸漸被廣大網民們所熟識,因為微博網站對用戶輸入的字數都有限制,較長的URL地址又占據了過多的字符數,而短鏈接正好解決了這種問題,在節省字數的同時,給博主留下更多的文字空間。因此,一旦我們在微博中輸入一個URL地址時,微博程序會將我們輸入的URL地址自動轉換為相應的短鏈接地址。
瑞星安全專家表示,轉換為短鏈接地址以后確實方便微博內容的顯示,但在便捷顯示的同時,短鏈接也帶來一定的安全隱患,用戶可能無法通過短鏈接地址直接看出點擊這個短鏈接地址后究竟會打開什么樣的網站。
在微博網站中,我們可以把鼠標懸停放在URL地址上,查看這個短鏈接地址所表示的真實地址,但如果短鏈接地址出現在其他網頁或即時通訊工具中的話,用戶到底是選擇去瀏覽還是放棄呢?或者即使網站會對短鏈接指向的地址進行提示,用戶又是否會未查看提示,而直接瀏覽呢?
唐威表示,我們針對這種情況做過相關測試,首先將一個包含有惡意網馬代碼的地址發布在QQ群中,然后再將該地址通過新浪微博生成相應的短鏈接也發布在QQ群中,結果確十分迥異,QQ可以直接提示該地址為惡意地址,但是通過短鏈接變形以后的地址,QQ卻無法確認。
又如曾經爆發的新浪微博蠕蟲事件,大量認證用戶受到感染,并自動發布含有惡意代碼的短鏈接地址,面對這樣的認證用戶,網民們往往會降低安全警惕意識,選擇直接點擊瀏覽,如圖5所示。
試想如果惡意黑客將掛馬地址或者釣魚地址通過短鏈接變形的方式直接發送在QQ群、微博或是網頁中誘騙用戶點擊,帶來的危害和影響是無法想像的。
因此,瑞星安全專家唐威表示:隨著短鏈接的應用范圍不斷擴大,網民在使用微博的時候需要提高警惕,尤其是針對第三方授權應用,建議在點擊前充分了解其可能帶來的風險,獲取短鏈接重定向的完整URL地址,然后再安全瀏覽。同時,安裝安全防護軟件,對可能存在的惡意網址、惡意釣魚地址、惡意XSS跨站腳本攻擊及網馬攻擊等行為進行有效攔截。
附:短鏈接實現原理
短鏈接主要是通過域名重定向技術將較長的域名信息通過一定的轉換算法進行處理,用另外一個較短域名信息進行表示。當用戶訪問這個較短的域名信息時,就可以直接跳轉到較長的URL地址上。
域名重定向技術也可以稱為URL轉發,是通過網站服務器或者Web應用程序的設置,將訪問當前域名的用戶引導至指定的另一個URL地址。
常用的域名重定向方式有:A、301重定向,B、302重定向,C、META標簽刷新。
301重定向代表永久性轉移(Permanently Moved)。
302重定向代表暫時性轉移(Temporarily Moved)。
META標簽刷新在2000年前比較流行,不過現在已很少見。其具體是通過網頁中的META標簽,設定相應的跳轉地址,在特定時間后重定向到新的網頁。
301重定向和302重定向的區別主要表現在搜索引擎爬取網絡鏈接的處理上,對于網民來說,兩者的效果都是將訪問的地址指向到另外一個地址。
在301重定向和302重定向中,網站服務器都會通過返回的HTTP數據頭中的Location段中給出相應的跳轉地址。所以在了解了短鏈接實現的原理以后,想獲取到短鏈接地址所指向的真實地址,只需對短鏈接域名的重定向進行檢測即可。實際上,我們可以通過多種方法實現獲取短鏈接指向的地址。
網上有一些網站可以提供域名重定向檢測的網站,可以通過此類網站獲取到短鏈接地址指向的真實域名地址,如http://www.longurl.org/。我們可以通過調用該網站提供的API接口獲取相關信息,我們使用微博生成的短鏈接地址http://url.cn/0DlZLg為例,提交URL地址http://api.longurl.org/v2/expand?url=http://url.cn/0DlZLg,返回的結果如圖1所示。
圖1
這里的結果是該短鏈接地址跳轉的地址是百度的首頁。
當然,調用其他網站提供的接口反饋的結果是經過加工處理的,不能看到服務器反饋回來的數據報文。那么我們自己構造一個工具實現對短鏈接地址的查看,構造PHP代碼如下圖2所示:
圖2
以上代碼的作用是接收用戶輸入的短鏈接地址,并發送相應的HTTP請求,并將服務端返回的數據信息進行顯示。將以上代碼保存在安裝有PHP的環境中,并保存為CheckTinyUrl.php,使用方法是在命令行模式下執行命令“php CheckTinyUrl.php短鏈接地址”,這里使用新浪微博中的短鏈接進行測試,測試結果如下圖3所示。
圖3
從返回的結果中可以發現,HTTP返回的狀態碼為302,并且重定向的地址在Location段中,正是我們之前測試輸入的瑞星新聞的地址。
同樣,也可以通過其他程序設計語言編寫相應的短鏈接重定向檢測工具,方便應用在未安裝PHP語言環境的機器中,實現的原理都是通過提交數據包并接收返回的HTTP數據報文頭信息,查看到相應的重定向地址,如下圖4所示。
推薦閱讀
網頁截圖 模仿臉譜網 民間網站火了 華科學生照片大量外泄;網站涉侵犯隱私,有學生要求警方介入調查 “一個個中意的姑娘就這么毀了,HUST FACEMASH已經快把我弄哭了>>>詳細閱讀
本文標題:瑞星安全專家談短鏈接原理:需防范安全隱患
地址:http://www.xglongwei.com/a/11/20120625/70553.html
網友點評
精彩導讀
科技快報
品牌展示