980安全專家教您認識短網(wǎng)址安全

服務

網(wǎng)站推廣

詳細地址

民治街道

980安全專家教您認識短網(wǎng)址安全

隨著微博的盛行，短網(wǎng)址也漸漸被廣大網(wǎng)民們所熟識。但是，短網(wǎng)址是通過什么原理實現(xiàn)的呢在短網(wǎng)址帶來便利的同時又是否會帶來安全隱患呢為此，980安全專家提醒用戶，要注意短網(wǎng)址安全。

通俗地講，短網(wǎng)址就是將較長的URL地址，通過特定的算法轉換為簡短的網(wǎng)址字符串。早期，短網(wǎng)址并沒有像現(xiàn)在網(wǎng)絡環(huán)境中這么流行，當時它主要應用在圖片上傳網(wǎng)站中，上傳站通過特定的算法縮短URL鏈接地址，達到減少代碼字符數(shù)的目的。這樣，使用者就可以在有字符數(shù)限制的網(wǎng)站中，運用短網(wǎng)址達到外鏈圖片的目的。

然而，隨著微博的盛行，短網(wǎng)址也漸漸被廣大網(wǎng)民們所熟識，因為微博網(wǎng)站對用戶輸入的字數(shù)都有限制，較長的URL地址又占據(jù)了過多的字符數(shù)，而短網(wǎng)址正好解決了這種問題，在節(jié)省字數(shù)的

在301重定向和302重定向中，網(wǎng)站服務器都會通過返回的HTTP數(shù)據(jù)頭中的Location段中給出相應的跳轉地址。所以在了解了短網(wǎng)址實現(xiàn)的原理以后，想獲取到短網(wǎng)址地址所指向的真實地址，只需對短網(wǎng)址域名的重定向進行檢測即可。實際上，我們可以通過多種方法實現(xiàn)獲取短網(wǎng)址指向的地址。

網(wǎng)上有一些網(wǎng)站可以提供域名重定向檢測的網(wǎng)站，可以通過此類網(wǎng)站獲取到短網(wǎng)址地址指向的真實域名地址，如httpwww.span stylefont-family宋體。我們可以通過調用該網(wǎng)站提供的API接口獲取相關信息，我們使用980生成的短網(wǎng)址地址httppan stylefont-family宋體為例，提交URL地址httpapi.xpandurlhttppan stylefont-family宋體。

這里的結果是該短網(wǎng)址（http980.soarticle152.html）地址跳轉的地址是百度的首頁。

當然，調用其他網(wǎng)站提供的接口反饋的結果是經過加工處理的，不能看到服務器反饋回來的數(shù)據(jù)報文。那么我們自己構造一個工具實現(xiàn)對短網(wǎng)址地址的查看。

代碼的作用是接收用戶輸入的短網(wǎng)址地址，并發(fā)送相應的HTTP請求，并將服務端返回的數(shù)據(jù)信息進行顯示。將以上代碼保存在安裝有PHP的環(huán)境中，并保存為CheckTinyUrl.php，使用方法是在命令行模式下執(zhí)行命令“phpCheck-TinyUrl.php短網(wǎng)址地址”，這里使用新浪微博中的短網(wǎng)址進行測試。

從返回的結果中可以發(fā)現(xiàn)，HTTP返回的狀態(tài)碼為302，并且重定向的地址在Location段中，正是我們之前測試輸入的980新聞的地址。

同樣，也可以通過其他程序設計語言編寫相應的短網(wǎng)址重定向檢測工具，方便應用在未安裝PHP語言環(huán)境的機器中，實現(xiàn)的原理都是通過提交數(shù)據(jù)包并接收返回的HTTP數(shù)據(jù)報文頭信息，查看到相應的重定向地址。

現(xiàn)在，越來越多的人開通了自己的微博，網(wǎng)民必須提高警惕，尤其是針對第三方授權應用，建議獲取短網(wǎng)址重定向的完整URL地址后再安全瀏覽。并安裝安全防護軟件，對可能存在的惡意網(wǎng)址、惡意釣魚地址、惡意XSS跨站腳本攻擊及網(wǎng)馬攻擊等行為進行有效攔截。

同時，給博主留下更多的文字空間。因此，一旦我們在微博中輸入一個URL地址時，微博程序會將我們輸入的URL地址自動轉換為相應的短網(wǎng)址地址。

980安全專家表示，轉換為短網(wǎng)址地址以后確實方便微博內容的顯示，但在便捷顯示的同時，短網(wǎng)址也帶來一定的安全隱患，用戶可能無法通過短網(wǎng)址地址直接看出點擊這個短網(wǎng)址地址后究竟會打開什么樣的網(wǎng)站。

在微博網(wǎng)站中，我們可以把鼠標懸停放在URL地址上，查看這個短網(wǎng)址地址所表示的真實地址，但如果短網(wǎng)址地址出現(xiàn)在其他網(wǎng)頁或即時通訊工具中的話，用戶到底是選擇去瀏覽還是放棄呢或者即使網(wǎng)站會對短網(wǎng)址指向的地址進行提示，用戶又是否會未查看提示，而直接瀏覽呢

我們針對這種情況做過相關測試，首先將一個包含有惡意網(wǎng)馬代碼的地址發(fā)布在QQ群中，然后再將該地址通過新浪微博生成相應的短網(wǎng)址也發(fā)布在QQ群中，結果確十分迥異，QQ可以直接提示該地址為惡意地址，但是通過短網(wǎng)址變形以后的地址，QQ卻無法確認。

又如曾經爆發(fā)的新浪微博蠕蟲事件，大量認證用戶受到感染，并自動發(fā)布含有惡意代碼的短網(wǎng)址地址，面對這樣的認證用戶，網(wǎng)民們往往會降低安全警惕意識，選擇直接點擊瀏覽。

試想如果惡意黑客將掛馬地址或者釣魚地址通過短網(wǎng)址變形的方式直接發(fā)送在QQ群、微博或是網(wǎng)頁中誘騙用戶點擊，帶來的危害和影響是無法想像的。

因此，980安全專家表示：隨著短網(wǎng)址的適用前景不斷擴大，網(wǎng)民在使用微博的時候需要提高警惕，尤其是針對第三方授權應用，建議在點擊前充分了解其可能帶來的風險，獲取短網(wǎng)址重定向的完整URL地址，然后再安全瀏覽。同時，安裝安全防護軟件，對可能存在的惡意網(wǎng)址、惡意釣魚地址、惡意XSS跨站腳本攻擊及網(wǎng)馬攻擊等行為進行有效攔截。

短網(wǎng)址實現(xiàn)原理

短網(wǎng)址主要是通過域名重定向技術將較長的域名信息通過一定的轉換算法進行處理，用另外一個較短域名信息進行表示。當用戶訪問這個較短的域名信息時，就可以直接跳轉到較長的URL地址上。

域名重定向技術也可以稱為URL，是通過網(wǎng)站服務器或者Web應用程序的設置，將訪問當前域名的用戶引導至指定的另一個URL地址。

常用的域名重定向方式有：A、301重定向，B、302重定向，C、META標簽刷新。

301重定向代表永久性轉移

302重定向代表暫時性轉移

META標簽刷新在2000年前比較流行，不過現(xiàn)在已很少見。其具體是通過網(wǎng)頁中的META標簽，設定相應的跳轉地址，在特定時間后重定向到新的網(wǎng)頁。

301重定向和302重定向的區(qū)別主要表現(xiàn)在搜索引擎爬取網(wǎng)絡鏈接的處理上，對于網(wǎng)民來說，兩者的效果都是將訪問的地址指向到另外一個地址。