短网址安全,缩我短链接一文说通短网址安全性

2021-09-06 09:32:03

阅读 1885

短网址,即形式上比较短的网址,短网址主要用来替代冗长的“长”网址,方便发送和分享。短网址安全,就是建立在短网址服务之上逻辑,即短链接生成,发送全周期的安全性。首先不要轻易去点击一个不可信的短网址链接;如果一定要点击,建议在点击前,先到相应短网址的官方或其他可信网站,还原出短网址相对应的长网址,或者直接到检测网址安全的网站检测其安全性,“验明正身”之后再打开。

短网址风险和一些技术公司容易出现短网址漏洞,首先,我们了解下短网址的工作流程。

短网址安全

用户将长url提交到缩我短链接上,点击缩短,之后服务器经过URL处理之后,利用转换算法对长url进行转换,最后分别将长网址和短网址存储到数据库之中。部分短网址服务为了防止出现对短地址进行连续转化或者提供一些展示长网址TITLE的功能,所以会对长网址进行访问。

其实对于短网址服务最核心的问题就是短网址的转换算法。那么常用的短网址算法有哪些呢?我们分析了GitHub上star数量最多的十个短网址服务对应的算法,大致分为三类:进制算法、随机数算法和HASH算法。

了解完长网址转为短网址的流程之后,我们下边主要简单说明下短网址转化为长网址的流程,用户访问短网址,短网址服务返回一个302或者301的响应,从而跳转到长网址。这个地方,几乎所有短网址服务商会选择302,因为302方便统计和分析用户属性等数据。

短网址服务自身存在的设计缺陷问题,尤其是一般短网址采用6位或者7位字母和数字的集合,可以被很好的预测,从而被针对性的爆破。其实当短网址出现短网址被猜解、爆破的问题,那么是不是会出现其他的问题,所以我们还对其进行了其他的安全测试。

1、SSRF安全问题
远程访问功能在过滤不严谨的情况下会造成SSRF,测试时使用自定义域名绑定一个内网地址之后进行访问,该短网址服务展示了长网址的TITLE,如下成功访问到了内网地址:

2、获取TITLE功能和展示长网址页面,在过滤不严谨的情况下,造成XSS。
部分短网址服务提供了长网址TITLE的展示功能和在当前页展示长网址的功能,在过滤不严谨的情况下也会造成xss。

3、sql注入问题
进行拼接查询时会造成SQL注入。在测试中我们先进行了and 1=1的测试,发现可以正常读取。

短网址的安全性还有很多,今天缩我短链接小编就给大家讲到这里。未来希望有机会和大家一起探讨更加深层次的短链接安全、短网址安全。


缩我,高速云服务器
实时掌握推广动态
让您深入了解用户,提高推广转化率
联系我们
    1. 关注官方微信公众号
      联系客服
      常见问题
  • 公众号
    客服微信
  • 缩我短链接公众号 关注官方公众号
  • 联系客服