防护恶意网址用短网址欺骗的对策

  随着微博的快速发展,微博用户数量呈爆炸式增长,微博用户间的信息传播、信息分享较之传统的网络形式进一步加速,所分享的内容也呈多样化趋势,使得短网址活跃起来。因为微博内容一般都有字数限制,较长的URL 地址会挤压正文的空间。

  而短网址生成器正好解决了这种问题,借助短网址生成器可以用简短的网址替代原来冗长的网址,给用户留下更多的正文空间。在方便微博分享的同时,短网址也带来了一定的安全隐患。因为网址缩短后无法了解该网页的内容,致使用户完全无法辨认其是否具有危险。如果黑客将网页木马地址或者钓鱼网站地址通过短网址变形的方式直接发送在 Q Q 群、微博或是网页中诱骗用户点击,就可能带来安全危害。

  为此,需要对短网址恶意网址欺骗进行防御,维护用户安全。在长网址的恶意链接检测的基础上,针对恶意短网址,分别从用户和短网址服务端角度提出了所应当采取的安全措施。

  短网址浏览模式下,相应的安全防护也应当做出相应的调整。应当改进客户端的防护方式,增加短网址生成器的安全防护。

  对短网址的安全监测,首先要先将短网址重新转化为长网址,再进行检测活动。实现的基本原理是通过向短网址服务端提交数据包并接收返回的信息,查看相应的重定向地址。

  互联网上有网站能够提供重定向的检测,例如 http://www.xxx.org,以 http://980.so 为例,对其进行短网址转换得到 http://980.so/x。通过提交 http://xxx.org/expand ?url=http% 3A% 2F% 2Fis.gd% 2Fw,可以看到最后得到的地址为 http:/980.so ,其中进行了2 次重定向,第一次重定向到了http://980.so ,第二次到http://w w w.980.so ,至此不再重定向。xxx网站在对支持的短网址网站进行长地址还原时,进行了递归还原,直到得到的网址不再重定向或者出现不支持还原的短网址。xxx网址还提供了火狐浏览器的短网址转换的插件。通过加载该插件,就能在发现短网址时得到还原服务,得到还原后的长地址。

  1、客户端的改进办法

  1)直接还原

  直接还原是指用户通过安装浏览器插件或其他方式,直接读取出重定向的网站,再进行恶意地址检测。如刚提到的xxx网址提供的插件。

  虽然目前短网址的重定向方式大多采取了301,302 的方式,但是仍有少部分采取其他重定向办法,该方法具有一定的通用性,但对某些特殊重定向无法进行解析。

  2)加强拦截

  加强拦截是指用户不考虑短网址还原,使用具有恶意网址拦截功能的安全软件,直接点击短网址进行访问。加载了恶意网址拦截功能的浏览器在访问短网址,进行重定向的过程中,对每次重定向的网址都会进行一次黑名单检测,当重定向的网址为黑名单中的恶意网址时,将会阻止浏览器进一步加载网页,并对用户做出安全提示。

  例如 360 网盾就内置了拦截欺诈和木马网站的功能,在早期版本中通过本地的恶意网址库进行黑名单检测,最新的版本则通过云端的恶意地址库进行检测。

  该方法较为安全,但由于浏览器每访问一个新的网址,都可能需要得到判定信息后才能断定网页是否安全,是否允许加载,将会影响到用户的浏览体验。

  2、 短网址生成器防护

  1)恶意地址检测及后台管理

  加入恶意地址检测功能是指在短网址生成器在收到短网址服务请求时,对长网址进行恶意地址检测,对恶意地址不提供转短,或转短不还原。

  金山云安全就提供了恶意网址检测的 A PI接口。短网址网站管理员可以利用其接口进行安全检测,查询某个 U R L 的安全情况。

  目前金山网址云安全 API支持的功能包括 :

  (1)查询一个 URL 是否是钓鱼欺诈网站;

  (2)查询一个下载 U R L 是否属于病毒、木马、恶意软件下载链接。

  管理员还可以在系统后台进行短网址管理,对网站中所有涉及到的链接进行统一管理,加强对非法、恶意链接的屏蔽隔离能力,进一步提升网站的安全服务能力。管理员根据已知的关键字和内容的过滤规则,通过查看长网址的标题、关键字、域名等信息,将短网址进行封禁解禁操作,以此来屏蔽一部分内容可能涉及色情、暴力的非法、恶意网页。

  2)拒绝外部短网址的请求

  在上述安全措施的基础上,短网址网站还应当拒绝其他短网址的再转换请求,因为外部短网址将会影响到恶意地址的检测,妨碍网站对链接的统一管理。

  一般短网址的组成:短网址网站的域名 +”/”+ 短码。

  短网址网站在接受转短请求时,可以通过正则表达式对请求的网址进行匹配,如果符合短网址的正则表达式,则拒绝转短请求。还可以将不安全的短网址网站加入黑名单中。

  3)做好服务器安全

  做好服务器的安全是为了防止黑客的攻击,对网站进行篡改。360 网站安全中心是面向站长,提供对网站的整体检测的网站。安全中心对网站进行全面扫描,对网站的安全性进行分级并出示详细的安全评估报告。

  现在,越来越多的人开通了自己的微博,短网址的使用也越来越频繁。用户必须提高安全意识,使用能够还原短网址到完整 U R L 地址进行恶意地址检测的安全组件,使用采用了安全机制的短网址服务,比如980短网址生成器安装有网站安全和网址过滤,有效阻挡恶意链接的传播。

原文来自:短网址《防护恶意网址用短链接欺骗的对策

时间: 2024-10-20 04:18:03

防护恶意网址用短网址欺骗的对策的相关文章

PHP实现长网址与短网址

本文来自微信公众号 小7带你玩编程 什么是长链接.短链接 顾名思义,长链接就是一个很长的链接:短链接就是一个很短的链接.长链接可以生成短链接,短链接来源于长链接. 为什么要使用长链接.短链接 更加美观,我们可以对长链接和短链接进行对比,很显然可以看出短链接相对成链接来说更加的短小,显得更加的美观. 安全性,长链接可能会携带一些参数,例如http://xxx.xxx.xxx?id=1&param1=san,我们能够轻松的看出,该url采用的是 get的方式,同时也能看出请求了哪些参数.然而短链接h

长网址转换短网址

可以用955网址转换网站 以下是原理:http://blog.sina.com.cn/s/blog_65db99840100lg4n.html(转) ----------------“今天看到新闻说谷歌的网址缩短服务(http://goo.gl/)向公众开放了,就想看看这短地址是怎么一回事,因为玩新浪微博的时候也经常碰到这个东西. 用我的博客地址http://blog.sina.com.cn/bluemonster0808生成的短地址是goo.gl/HdAU(值得注意的是同一个长地址每次生成的短

iOS 分享长网址转短网址

分享链接一般比较长,一般我们都有缩短网址的需求下面粘贴代码满足需求: NSString *shareUrl = @"www.example.com"; NSString *str = [NSString stringWithFormat:@"http://is.gd/create.php?format=json&url=%@",shareUrl]; str = [str stringByAddingPercentEscapesUsingEncoding:NS

微博URL短网址生成算法原理及(java版、php版实现实例)

短网址(Short URL),顾名思义就是在形式上比较短的网址.通常用的是asp或者php转向,在Web 2.0的今天,不得不说,这是一个潮流.目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接. 例如:http://t.cn/SzjPjA 短网址服务,可能很多朋友都已经不再陌生,现在大部分微博.手机邮件提醒等地方已经有很多应用模式了,并占据了一定的市场.估计很多朋友现在也正在使用. 看过新浪的短连接服务,发现后面主要有6个字符串组成,于是第一个

微博短网址生成算法原理

短网址(Short URL),顾名思义就是在形式上比较短的网址.通常用的是asp或者php转向,在Web 2.0的今天,不得不说,这是一个潮流.目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接. 例如:http://980.so/3u0JzX 表示http://www.ganmall.com.cn/h/detail/dp_928.html?chl=dwz9801 短网址服务,可能很多朋友都已经不再陌生,现在大部分微博.手机邮件提醒等地方已经有很

长网址 短网址(http://www.zhihu.com/question/19852154?rf=21975802)

短网址(Short URL),顾名思义就是在形式上比较短的网址.通常用的是asp或者php转向,在Web 2.0的今天,不得不说,这是一个潮流.目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接.例如:http://t.cn/SzjPjA 短网址服务,可能很多朋友都已经不再陌生,现在大部分微博.手机邮件提醒等地方已经有很多应用模式了,并占据了一定的市场.估计很多朋友现在也正在使用. 看过新浪的短连接服务,发现后面主要有6个字符串组成,于是第一个想

短网址生成API接口【最新版】分析一下现在市面上的短网址情景

目前市面上主流短链接有百度.腾讯.淘宝和新浪,下面各自分析下他们的优缺点 百度短网址 百度短网址是收费项目,相对来说功能多一点,官方是这样介绍的:百度短网址服务可以帮助你把一个长网址缩短,方便你在社交网络和第三方平台上分享链接,投放广告等等. 百度具有超简单的方式使用短网址服务:访问百度短网址首页https://dwz.cn,生成对应的短网址.你还可以调用百度短网址服务API服务,查看数据统计与分析! 之前的百度短网址是需要大站才能申请,后来变成了都可以但需要2个小时的审核时间,现在是即时的 缺

数据结构与算法简记--实现一个短网址系统

实现一个短网址系统 短网址服务 把一个长的网址转化成一个短的网址,访问这个短网址,就相当于访问原始的网址 原始网址:https://github.com/wangzheng0822/ratelimiter4j 短网址:http://t.cn/EtR9QEG 上面第二个网址是通过新浪提供的短网址服务生成的 核心功能: 把原始的长网址转化成短网址 当用户点击短网址的时候,短网址服务会将浏览器重定向为原始网址 如何通过哈希算法生成短网址? 使用比较著名并且应用广泛的一个哈希算法:MurmurHash

短网址服务设计

短网址服务设计 背景 短网址服务,用来将输入的一个长网址转换为一个短网址(比如附录中的案例),当用户请求这个短网址时,服务查询出真实的url; 设计这么一个短网址服务,需要考虑哪些点? 数据结构 首先,需要考虑短网址应该如何存储,使用一个key-value结构就可以: key是生成的短网址,具有唯一性: value为原始真实网址: 算法 计算短网址的算法可以很简单,短网址与原始网址就只存在一个映射关系. 从1开始递增来映射每一个网址: 1个位上可以使用26位字母+10个数字,即36进制: 当然,