上網安全之邪惡短網址 (Surfing Secure for URL Shortening Services)

先利用 google 搜尋關鍵字：「短網址」，就可以知道何謂短網址。或者查詢維基百科(Wiki)也行。

常見短網址服務的網域有：
http://tinyurl.com/
http://0rz.tw/
http://0rz.com/
http://ppt.cc/
http://goo.gl/
http://bit.ly/
... ... 其他好多!! 總之我用邪惡短網址稱呼。也許它全然不是壞的，但是幾百個短網址連結，出現一個問題，可能就很頭大；問題是如果要檢查幾百個短網址可能更頭大，你該如何自處呢？點還不點連結？

短網址在網路上使用越來越廣泛了，就連 google 也加入短網址服務，這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色，域名很短且域名之後為一串固定長度的英數字組成，對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意，因為，它很容易被利用，做為隱藏惡意連結或惡意網域之用。

為了抓個圖，讓網友了解，等了許久這圖終於出現了：

這可是相當典型的「Likejacking」手法，而且還配合短網址做利用。相關資料可以參考 這裡 還有 這裡 。應該很多人已經點擊該連結了吧，問題是都沒感覺有發生過啥問題...XD。FB 現在還是很甜蜜的，再過段時日，就會有一堆垃圾、廣告、行銷的東東，甚至是惡意連結，出現在大家的牆上，沒辦法，別忘了 FB 可是要取代 EMail 的。

與短網址有異曲同工之妙的，如「OWASP Top 10 for 2010」中，A10: Unvalidated Redirects and Forwards(未驗證的轉址與轉送)。短網址都大辣辣的提供服務了，相較之下，Unvalidated Redirects and Forwards 的問題實在沒啥大不了的。話說回來，把這兩個搭在一起，再做點變形，還蠻好玩的哩，可以更隱密的隱藏惡意連結...@@。

對於網站上短網址的出現，需加以留意。若出現在即時通訊(MSN, Yahoo Messenger, google talk, skype …等)，那就該更加小心。因為，你不知它會連結到哪個網頁上。

其他 Web 常見攻擊手法或衍生資安問題

• 網頁掛馬手法
• 魚叉式網路釣魚
• 關鍵字查詢利用(SEO Poison)
• 惡意程式的下載與執行
• 網路個人資料外洩
• 金融交易資料外洩
• 網路交易詐騙
• 詐騙網站、郵件
• 偽防毒網站(流氓軟體)
• 人肉搜尋
• 社群網站的個資
• 不當網路留言、不當上傳影音照片
• 內部機敏資料的外洩

結論：
對於企業用戶而言，相信也擺脫不了瀏覽器，無論是存取內部網站或外部網頁，端點安全一直都是企業難以建全防護的地方。對於威脅而言，透過惡意網頁的滲透，很多時候也不需要高深的技術，只需要一個完美策劃的劇本，這將在在考驗企業的用戶。如何修正使用者上網觀念成為重要課題，也僅以此篇文章，與 IT 人員在推廣使用者教育訓練上，提供一些參考方向與觀念內容，強化使用者上網的觀念。

完整文章亦投稿於「資安人雜誌，2011. Jan/Feb. No.73，你的上網行為安全嗎?」
相關系列文章：
「上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)」
「上網安全之Active X (Surfing Secure for Active X)」
「上網安全之Cookie/Session (Surfing Secure for Cookie/Session)」