常見短網址服務的網域有:
http://tinyurl.com/
http://0rz.tw/
http://0rz.com/
http://ppt.cc/
http://goo.gl/
http://bit.ly/
... ... 其他好多!! 總之我用邪惡短網址稱呼。也許它全然不是壞的,但是幾百個短網址連結,出現一個問題,可能就很頭大;問題是如果要檢查幾百個短網址可能更頭大,你該如何自處呢?點還不點連結?
短網址在網路上使用越來越廣泛了,就連 google 也加入短網址服務,這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色,域名很短且域名之後為一串固定長度的英數字組成,對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意,因為,它很容易被利用,做為隱藏惡意連結或惡意網域之用。
為了抓個圖,讓網友了解,等了許久這圖終於出現了:
這可是相當典型的「Likejacking」手法,而且還配合短網址做利用。相關資料可以參考 這裡 還有 這裡 。應該很多人已經點擊該連結了吧,問題是都沒感覺有發生過啥問題...XD。FB 現在還是很甜蜜的,再過段時日,就會有一堆垃圾、廣告、行銷的東東,甚至是惡意連結,出現在大家的牆上,沒辦法,別忘了 FB 可是要取代 EMail 的。
與短網址有異曲同工之妙的,如「OWASP Top 10 for 2010」中,A10: Unvalidated Redirects and Forwards(未驗證的轉址與轉送)。短網址都大辣辣的提供服務了,相較之下,Unvalidated Redirects and Forwards 的問題實在沒啥大不了的。話說回來,把這兩個搭在一起,再做點變形,還蠻好玩的哩,可以更隱密的隱藏惡意連結...@@。
對於網站上短網址的出現,需加以留意。若出現在即時通訊(MSN, Yahoo Messenger, google talk, skype …等),那就該更加小心。因為,你不知它會連結到哪個網頁上。
其他 Web 常見攻擊手法或衍生資安問題
- 網頁掛馬手法
- 魚叉式網路釣魚
- 關鍵字查詢利用(SEO Poison)
- 惡意程式的下載與執行
- 網路個人資料外洩
- 金融交易資料外洩
- 網路交易詐騙
- 詐騙網站、郵件
- 偽防毒網站(流氓軟體)
- 人肉搜尋
- 社群網站的個資
- 不當網路留言、不當上傳影音照片
- 內部機敏資料的外洩
結論:
對於企業用戶而言,相信也擺脫不了瀏覽器,無論是存取內部網站或外部網頁,端點安全一直都是企業難以建全防護的地方。對於威脅而言,透過惡意網頁的滲透,很多時候也不需要高深的技術,只需要一個完美策劃的劇本,這將在在考驗企業的用戶。如何修正使用者上網觀念成為重要課題,也僅以此篇文章,與 IT 人員在推廣使用者教育訓練上,提供一些參考方向與觀念內容,強化使用者上網的觀念。
完整文章亦投稿於「資安人雜誌,2010. Jan/Feb. No.73,你的上網行為安全嗎?」
本文也張貼於「資安之我見」。
2 篇回應 :
短網址真的很可怕,有時候遇到不信任的人丟給我都會先wget檢查一下,阿碼有其他更好的偵測方式嗎?我覺得提供短網址服務商應該要提供過濾機制,讓惡意連結無法通過。
問題是短網址服務商不會知道它是惡意連結。可以考慮用 Fiddler 來觀察,但是,會需要"瀏覽"該連結。最好還是需要培養正確的上網安全觀念,以及建立良好的上網環境(瀏覽器+附加元件)。
張貼留言