ft12短網(wǎng)址服務(wù)官網(wǎng)登錄入口:www.ft12.com

www.ft12.com 為您提供：,短網(wǎng)址程序,短網(wǎng)址服務(wù),短網(wǎng)址轉(zhuǎn)換,短網(wǎng)址API接口,短鏈接生成器,批量生成短鏈接,短網(wǎng)址生成,壓縮所有網(wǎng)址包括圖片、flash、mp3、rar等所有互聯(lián)網(wǎng)地址，專(zhuān)業(yè)的網(wǎng)址縮短網(wǎng)站！

來(lái)自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發(fā)現(xiàn)，如果web短網(wǎng)址服務(wù)采用了可預(yù)測(cè)性的操作，就可能會(huì)泄露網(wǎng)站的敏感信息。

專(zhuān)家們分析了主流的短網(wǎng)址服務(wù)，其中包括Google、Bit.ly和微軟。他們發(fā)現(xiàn)，通過(guò)枚舉短網(wǎng)址，可以發(fā)現(xiàn)網(wǎng)絡(luò)上的敏感信息。比如，研究人員就發(fā)現(xiàn)了指向微軟OneDrive文件夾（未經(jīng)過(guò)加密）的短網(wǎng)址。

Shmatikov在一篇博文中提到：

“由bit.ly和goo.gl以及類(lèi)似的服務(wù)，因?yàn)樘炭梢员槐┝γ杜e和掃描。我們的掃描結(jié)果發(fā)現(xiàn)了一大堆微軟OneDrive賬戶(hù)，以及里面的私人文檔。它們中的許多都處于開(kāi)放狀態(tài)，任何人都可以向其中寫(xiě)入惡意軟件，用戶(hù)設(shè)備訪(fǎng)問(wèn)之后就會(huì)自動(dòng)下載。”

專(zhuān)家們還發(fā)現(xiàn)，短網(wǎng)址服務(wù)還可能泄露用戶(hù)的個(gè)人信息。

我們還發(fā)現(xiàn)了許多能泄露個(gè)人敏感信息的行車(chē)路線(xiàn)，比如用戶(hù)去的那些醫(yī)療設(shè)施、監(jiān)獄和成人場(chǎng)所。

為此，他們寫(xiě)出了一篇題為《六字符分析：短網(wǎng)址對(duì)云服務(wù)之害》的文章。

谷歌和微軟將聯(lián)手推出新的更安全的短網(wǎng)址服務(wù)，當(dāng)然舊的服務(wù)仍然存在漏洞。

研究人員解釋?zhuān)叹W(wǎng)址服務(wù)通過(guò)域名與一個(gè)五到七位的字符串組成，但它的簡(jiǎn)潔性和產(chǎn)生機(jī)制可以讓攻擊者進(jìn)行爆破枚舉攻擊。

Shmatikov解釋道：

“那些token字符串非常短，所以u(píng)rl是可以被爆破枚舉的。實(shí)際上，原本的長(zhǎng)url是長(zhǎng)期公開(kāi)存在的。任何人只要花費(fèi)一點(diǎn)耐心，借助一些機(jī)器的運(yùn)算就可以發(fā)現(xiàn)它們的蹤跡。”

大概枚舉掃描一億的url后，專(zhuān)家發(fā)現(xiàn)超過(guò)110萬(wàn)公開(kāi)的OneDrive文件，其中包括普通和可執(zhí)行文件。

在我們掃描的一億bit.ly短網(wǎng)址url樣本中，隨機(jī)選擇了6位字符串作為token的url。其中，有42%是指向有效存在的url地址的，而有19524的url指向了OneDrive / SkyDrive文化和文件夾，并且其中大部分都是可用的。然而，這僅僅是個(gè)開(kāi)始。

在對(duì)谷歌短網(wǎng)址的隨機(jī)枚舉掃描過(guò)程中，專(zhuān)家們發(fā)現(xiàn)了在23965718個(gè)鏈接中，有10%包含行車(chē)目的地的敏感信息，比如治病的醫(yī)院、打胎的診所，甚至脫衣舞俱樂(lè)部。

這表明，短網(wǎng)址服務(wù)可能會(huì)暴露敏感內(nèi)容給第三方，專(zhuān)家建議采取措施來(lái)限制自動(dòng)枚舉掃描的行為。

專(zhuān)家提示：

“使用你自己的解析器和token，而不是去使用bit.ly。并且，我們需要檢測(cè)并限制相應(yīng)的枚舉掃描行為，考慮使用驗(yàn)證碼等技術(shù)來(lái)阻止機(jī)器掃描。最后，設(shè)計(jì)一個(gè)更好的api，使得某個(gè)特定的url不會(huì)泄露用戶(hù)分享的其他url。”