短网址安全浅谈! 这些你该了解

https://xx.xx/resetPassword?emailType=RESET_PASSWORD&encryptionEmail=***GHOsR%2FMfiNEv8xOC29.&countersign=eyJhbGciOiJIUzUxMiJ9.eyJBQlNPTFVURV9FWFBJUkVfVElNRV9NSUxMUyI6IjE1M******zA1OTMxNjU4OTQiLCJORVdfRU1BSUwiOiJ5YW54aXUwNjE0QGdtYWlsLmNvbSIsIlRPS0VOX1RZUEUiOiJSRVNFVF9QQVNTV09SRCIsIkVNQUlMIjoieWFueGl1MDYxNEBnbWFpbC5jb20ifQ

其实单从上边的爆破出来的链接来看，每一个都极其的难以猜解，但是正是因为使用了短网址，从而把一些非常难猜解的高维度信息降低成了非常容易预测的低维度信息，就像你造了很坚固的房门，但是别人手里却有备用钥匙。

案例二：业务安全攻击链

1. 邀请链接直接发送给邀请人，邀请人点击即可完成注册;
2. 邀请链接以短网址发送;
3. 批量邀请，爆破短网址，批量点击注册，即可完成薅羊毛;

某个应用有老用户邀请新用户的赚赏金活动，邀请链接以短网址形式发送给新用户，新用户点击链接之后，则赏金会放到老用户账户之中。那么在这个活动中，攻击者用户A可以随机选择两个手机号，我们分别用用户B和用户C来代替这两个用户，那么攻击用户A邀请随机选择的这两个手机号，之后直接爆破短网址进行确认，则在B和C不知情的情况下完成了赏金的领取。

三、短网址服务漏洞

其实当短网址出现短网址被猜解、爆破的问题，那么是不是会出现其他的问题，所以我们还对其进行了其他的安全测试。

1、SSRF安全问题

远程访问功能在过滤不严谨的情况下会造成SSRF，测试时使用自定义域名绑定一个内网地址之后进行访问，该短网址服务展示了长网址的TITLE，如下成功访问到了内网地址：

2、获取TITLE功能和展示长网址页面，在过滤不严谨的情况下，造成XSS。

部分短网址服务提供了长网址TITLE的展示功能和在当前页展示长网址的功能，在过滤不严谨的情况下也会造成xss。

如上图中cve为在展示长网址页面造成了xss问题。而同时取title并在页面上展示也会造成xss，比如可以构造payload：“</title><script>alert(1)<script><title>“。

3、sql注入问题

进行拼接查询时会造成SQL注入。在测试中我们先进行了and 1=1的测试，发现可以正常读取，如下图：

之后再进行数据库版本的联合注入，如下图：

四、短网址防御实践

对于短网址服务，建议以下措施提升安全性：

1. 增加单IP访问频率和单IP访问总量的限制，超过阈值进行封禁。
2. 对包含权限、敏感信息的短网址进行过期处理。
3. 对包含权限、敏感信息的长网址增加二次鉴权。

五、影响范围

秉承“负责任的漏洞披露过程”，我们在测试过程中发现的短网址安全问题，均已通过对应SRC通知相关厂商，厂商均已快速修复完毕。

精力有限，未能一一测试，还请各厂商自测修复。

【编辑推荐】

1. 三项DevSecOps核心原则，保证交付的安全与速度
2. 办公WiFi成为黑客突破口？盘点常见的企业无线网络安全隐患
3. 2019年最有可能的5大网络安全威胁
4. 网络安全无小事：那些意想不到的黑客攻击方式
5. 什么是Supercookies，僵尸Cookies和Evercookies，它们是安全威胁吗?

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!