瑞星安全專家教您認(rèn)識(shí)短鏈接安全

隨著微博的盛行，短鏈接也漸漸被廣大網(wǎng)民們所熟識(shí)。但是，短鏈接是通過什么原理實(shí)現(xiàn)的呢？在短鏈接帶來便利的同時(shí)又是否會(huì)帶來安全隱患呢？為此，瑞星安全專家唐威提醒用戶，一定要注意短鏈接安全。

通俗地講，短鏈接就是將較長的URL地址，通過特定的算法轉(zhuǎn)換為簡短的網(wǎng)址字符串。早期，短鏈接并沒有像現(xiàn)在網(wǎng)絡(luò)環(huán)境中這么流行，當(dāng)時(shí)它主要應(yīng)用在圖片上傳網(wǎng)站中，上傳站通過特定的算法縮短URL鏈接地址，達(dá)到減少代碼字符數(shù)的目的。這樣，使用者就可以在有字符數(shù)限制的網(wǎng)站中，運(yùn)用短鏈接達(dá)到外鏈圖片的目的。

然而，隨著微博的盛行，短鏈接也漸漸被廣大網(wǎng)民們所熟識(shí)，因?yàn)槲⒉┚W(wǎng)站對(duì)用戶輸入的字?jǐn)?shù)都有限制，較長的URL地址又占據(jù)了過多的字符數(shù)，而短鏈接正好解決了這種問題，在節(jié)省字?jǐn)?shù)的同時(shí)，給博主留下更多的文字空間。因此，一旦我們?cè)谖⒉┲休斎胍粋�(gè)URL地址時(shí)，微博程序會(huì)將我們輸入的URL地址自動(dòng)轉(zhuǎn)換為相應(yīng)的短鏈接地址，如圖1所示。

圖1

瑞星安全專家表示，轉(zhuǎn)換為短鏈接地址以后確實(shí)方便微博內(nèi)容的顯示，但在便捷顯示的同時(shí)，短鏈接也帶來一定的安全隱患，用戶可能無法通過短鏈接地址直接看出點(diǎn)擊這個(gè)短鏈接地址后究竟會(huì)打開什么樣的網(wǎng)站。

在微博網(wǎng)站中，我們可以把鼠標(biāo)懸停放在URL地址上，查看這個(gè)短鏈接地址所表示的真實(shí)地址（如圖2），但如果短鏈接地址出現(xiàn)在其他網(wǎng)頁或即時(shí)通訊工具中的話，用戶到底是選擇去瀏覽還是放棄呢？或者即使網(wǎng)站會(huì)對(duì)短鏈接指向的地址進(jìn)行提示，用戶又是否會(huì)未查看提示，而直接瀏覽呢？

圖2

唐威表示，我們針對(duì)這種情況做過相關(guān)測試，首先將一個(gè)包含有惡意網(wǎng)馬代碼的地址發(fā)布在QQ群中，然后再將該地址通過新浪微博生成相應(yīng)的短鏈接也發(fā)布在QQ群中，結(jié)果確十分迥異，QQ可以直接提示該地址為惡意地址，但是通過短鏈接變形以后的地址，QQ卻無法確認(rèn)，如下圖3所示：

圖3

又如曾經(jīng)爆發(fā)的新浪微博蠕蟲事件，大量認(rèn)證用戶受到感染，并自動(dòng)發(fā)布含有惡意代碼的短鏈接地址，面對(duì)這樣的認(rèn)證用戶，網(wǎng)民們往往會(huì)降低安全警惕意識(shí)，選擇直接點(diǎn)擊瀏覽，如圖4所示。

圖4

試想如果惡意黑客將掛馬地址或者釣魚地址通過短鏈接變形的方式直接發(fā)送在QQ群、微博或是網(wǎng)頁中誘騙用戶點(diǎn)擊，帶來的危害和影響是無法想像的。

因此，瑞星安全專家唐威表示：隨著短鏈接的應(yīng)用范圍不斷擴(kuò)大，網(wǎng)民在使用微博的時(shí)候需要提高警惕，尤其是針對(duì)第三方授權(quán)應(yīng)用，建議在點(diǎn)擊前充分了解其可能帶來的風(fēng)險(xiǎn)，獲取短鏈接重定向的完整URL地址，然后再安全瀏覽。同時(shí)，安裝安全防護(hù)軟件，對(duì)可能存在的惡意網(wǎng)址、惡意釣魚地址、惡意XSS跨站腳本攻擊及網(wǎng)馬攻擊等行為進(jìn)行有效攔截。

附：短鏈接實(shí)現(xiàn)原理

短鏈接主要是通過域名重定向技術(shù)將較長的域名信息通過一定的轉(zhuǎn)換算法進(jìn)行處理，用另外一個(gè)較短域名信息進(jìn)行表示。當(dāng)用戶訪問這個(gè)較短的域名信息時(shí)，就可以直接跳轉(zhuǎn)到較長的URL地址上。

域名重定向技術(shù)也可以稱為URL轉(zhuǎn)發(fā)，是通過網(wǎng)站服務(wù)器或者Web應(yīng)用程序的設(shè)置，將訪問當(dāng)前域名的用戶引導(dǎo)至指定的另一個(gè)URL地址。

常用的域名重定向方式有：A、301重定向，B、302重定向，C、META標(biāo)簽刷新。

301重定向代表永久性轉(zhuǎn)移（Permanently Moved）。

302重定向代表暫時(shí)性轉(zhuǎn)移（Temporarily Moved）。

META標(biāo)簽刷新在2000年前比較流行，不過現(xiàn)在已很少見。其具體是通過網(wǎng)頁中的META標(biāo)簽，設(shè)定相應(yīng)的跳轉(zhuǎn)地址，在特定時(shí)間后重定向到新的網(wǎng)頁。

301重定向和302重定向的區(qū)別主要表現(xiàn)在搜索引擎爬取網(wǎng)絡(luò)鏈接的處理上，對(duì)于網(wǎng)民來說，兩者的效果都是將訪問的地址指向到另外一個(gè)地址。

在301重定向和302重定向中，網(wǎng)站服務(wù)器都會(huì)通過返回的HTTP數(shù)據(jù)頭中的Location段中給出相應(yīng)的跳轉(zhuǎn)地址。所以在了解了短鏈接實(shí)現(xiàn)的原理以后，想獲取到短鏈接地址所指向的真實(shí)地址，只需對(duì)短鏈接域名的重定向進(jìn)行檢測即可。實(shí)際上，我們可以通過多種方法實(shí)現(xiàn)獲取短鏈接指向的地址。

網(wǎng)上有一些網(wǎng)站可以提供域名重定向檢測的網(wǎng)站，可以通過此類網(wǎng)站獲取到短鏈接地址指向的真實(shí)域名地址，如http://www.longurl.org/。我們可以通過調(diào)用該網(wǎng)站提供的API接口獲取相關(guān)信息，我們使用騰訊微博生成的短鏈接地址http://url.cn/0DlZLg為例，提交URL地址http://api.longurl.org/v2/expand?url=http://url.cn/0DlZLg，返回的結(jié)果如圖1所示。

圖1

這里的結(jié)果是該短鏈接地址跳轉(zhuǎn)的地址是百度的首頁。

當(dāng)然，調(diào)用其他網(wǎng)站提供的接口反饋的結(jié)果是經(jīng)過加工處理的，不能看到服務(wù)器反饋回來的數(shù)據(jù)報(bào)文。那么我們自己構(gòu)造一個(gè)工具實(shí)現(xiàn)對(duì)短鏈接地址的查看，構(gòu)造PHP代碼如下圖2所示：

圖2

以上代碼的作用是接收用戶輸入的短鏈接地址，并發(fā)送相應(yīng)的HTTP請(qǐng)求，并將服務(wù)端返回的數(shù)據(jù)信息進(jìn)行顯示。將以上代碼保存在安裝有PHP的環(huán)境中，并保存為CheckTinyUrl.php，使用方法是在命令行模式下執(zhí)行命令“php CheckTinyUrl.php短鏈接地址”，這里使用新浪微博中的短鏈接進(jìn)行測試，測試結(jié)果如下圖3所示。

圖3

從返回的結(jié)果中可以發(fā)現(xiàn)，HTTP返回的狀態(tài)碼為302，并且重定向的地址在Location段中，正是我們之前測試輸入的瑞星新聞的地址。

同樣，也可以通過其他程序設(shè)計(jì)語言編寫相應(yīng)的短鏈接重定向檢測工具，方便應(yīng)用在未安裝PHP語言環(huán)境的機(jī)器中，實(shí)現(xiàn)的原理都是通過提交數(shù)據(jù)包并接收返回的HTTP數(shù)據(jù)報(bào)文頭信息，查看到相應(yīng)的重定向地址，如下圖4所示。

圖4

現(xiàn)在，越來越多的人開通了自己的微博，網(wǎng)民必須提高警惕，尤其是針對(duì)第三方授權(quán)應(yīng)用，建議獲取短鏈接重定向的完整URL地址后再安全瀏覽。并安裝安全防護(hù)軟件，對(duì)可能存在的惡意網(wǎng)址、惡意釣魚地址、惡意XSS跨站腳本攻擊及網(wǎng)馬攻擊等行為進(jìn)行有效攔截。