2011年4月3日 星期日

上網安全之邪惡短網址 (Surfing Secure for URL Shortening Services)

先利用 google 搜尋關鍵字:「短網址」,就可以知道何謂短網址。或者查詢維基百科(Wiki)也行。

常見短網址服務的網域有:
http://tinyurl.com/
http://0rz.tw/
http://0rz.com/
http://ppt.cc/
http://goo.gl/
http://bit.ly/
... ... 其他好多!! 總之我用邪惡短網址稱呼。也許它全然不是壞的,但是幾百個短網址連結,出現一個問題,可能就很頭大;問題是如果要檢查幾百個短網址可能更頭大,你該如何自處呢?點還不點連結?

短網址在網路上使用越來越廣泛了,就連 google 也加入短網址服務,這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色,域名很短且域名之後為一串固定長度的英數字組成,對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意,因為,它很容易被利用,做為隱藏惡意連結或惡意網域之用。

為了抓個圖,讓網友了解,等了許久這圖終於出現了:
這可是相當典型的「Likejacking」手法,而且還配合短網址做利用。相關資料可以參考 這裡 還有 這裡 。應該很多人已經點擊該連結了吧,問題是都沒感覺有發生過啥問題...XD。FB 現在還是很甜蜜的,再過段時日,就會有一堆垃圾、廣告、行銷的東東,甚至是惡意連結,出現在大家的牆上,沒辦法,別忘了 FB 可是要取代 EMail 的。

與短網址有異曲同工之妙的,如「OWASP Top 10 for 2010」中,A10: Unvalidated Redirects and Forwards(未驗證的轉址與轉送)。短網址都大辣辣的提供服務了,相較之下,Unvalidated Redirects and Forwards 的問題實在沒啥大不了的。話說回來,把這兩個搭在一起,再做點變形,還蠻好玩的哩,可以更隱密的隱藏惡意連結...@@。

對於網站上短網址的出現,需加以留意。若出現在即時通訊(MSN, Yahoo Messenger, google talk, skype …等),那就該更加小心。因為,你不知它會連結到哪個網頁上。

其他 Web 常見攻擊手法或衍生資安問題
  • 網頁掛馬手法
  • 魚叉式網路釣魚
  • 關鍵字查詢利用(SEO Poison)
  • 惡意程式的下載與執行
  • 網路個人資料外洩
  • 金融交易資料外洩
  • 網路交易詐騙
  • 詐騙網站、郵件
  • 偽防毒網站(流氓軟體)
  • 人肉搜尋
  • 社群網站的個資
  • 不當網路留言、不當上傳影音照片
  • 內部機敏資料的外洩

結論:
對於企業用戶而言,相信也擺脫不了瀏覽器,無論是存取內部網站或外部網頁,端點安全一直都是企業難以建全防護的地方。對於威脅而言,透過惡意網頁的滲透,很多時候也不需要高深的技術,只需要一個完美策劃的劇本,這將在在考驗企業的用戶。如何修正使用者上網觀念成為重要課題,也僅以此篇文章,與 IT 人員在推廣使用者教育訓練上,提供一些參考方向與觀念內容,強化使用者上網的觀念。

完整文章亦投稿於「資安人雜誌,2011. Jan/Feb. No.73,你的上網行為安全嗎?」
相關系列文章:
上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)
上網安全之Active X (Surfing Secure for Active X)
上網安全之Cookie/Session (Surfing Secure for Cookie/Session)

3 則留言:

TrueMan 提到...

其實短網址的惡意利用,小弟在ithome2007資安專刊中就有寫過了,可惜當時沒出事就一直沒人關心了...Q_Q roamer

Crane_Ku 提到...

資安就是這樣。看見問題的時候,沒人在意;出現攻擊的時候,拿不出辦法;有了解決方案,威脅已經過去了(人家已經再玩新東西了)~~XD

匿名 提到...

真的,每年看到資安廠商公布的威脅報告,就可以發現廠商會列在報告中的多是他們已有或將有solution的攻擊,針對他們短時間仍無解的攻擊則多是視而不見地bypass掉...:p
roamer