短链接安全浅谈

短网址的初衷是在微博这种限制字数的公共平台使用,也就是说它基本是公开的,但是后续在个人短信和邮件之中,其实有部分已经是私密的。 这直接引发了短网址第一个比较大的潜在风险。

* 本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

前言

何谓短网址(Short URL)?顾名思义,就是形式上比较短的网址,当前主要是借助短网址来替代原先冗长的网址,方便传输和分享。短网址服务也就是将长网址转换为短网址的服务,这种服务在方便了广大网民的同时也带来了一定的安全风险。

Tencent Blade Team 专门对短网址的安全问题进行过研究,也在 KCON 2018 上进行过分享过部分成果,本文也是对议题《短网址的攻击与防御》的解读和补充。 

特别感谢:lake2、Wester、martinzhou

一、短网址基础

短网址服务可以提供一个非常短小的 URL 以代替原来的可能较长的 URL,将长的 URL 地址缩短。用户访问缩短后的 URL 时,通常将会重定向到原来的 URL。短网址服务主要起源于一些具有字数限制的微博客服务,但是现在广泛用于短信、邮件等。

很多安全问题是跟安全场景相关的,随着场景的不断变化,安全问题也是变化的。短网址的初衷是在微博这种限制字数的公共平台使用,也就是说它基本是公开的,但是后续在个人短信和邮件之中,其实有部分已经是私密的。 这直接引发了短网址第一个比较大的潜在风险。

在了解短网址风险和漏洞之前,我们首先应该了解下短网址是什么以及如何工作。

短网址服务的基本流程:用户将长网址提交到短网址服务中,之后短网址服务经过 URL 处理之后,利用转换算法对长网址进行转换,最后分别将长网址和短网址存储到数据库之中。部分短网址服务为了防止出现对短地址进行连续转化或者提供一些展示长网址 TITLE 的功能,所以会对长网址进行访问。

其实对于短网址服务最核心的问题就是短网址的转换算法。那么常用的短网址算法有哪些呢?我们分析了 GitHub 上 star 数量最多的十个短网址服务对应的算法,大致分为三类:进制算法、随机数算法和 HASH 算法。

下面我利用简单的三个小例子介绍下对应的算法:

(1)进制算法:

算法简述:一个以数字、大小写字母共 62 个字符的任意进制的算法。

数据库中 ID 递增,当 ID 为 233,则对应短网址计算过程如下:

①设置序列为 “0123456789abcdefghijklmnopqrstuvwxyz” 

② 233/36=6

③ 233%36= 17

④依次取上述字符的 6 位,17 位,则为 6h

其生成之后的短网址为 xx.xx/6h

(2)随机数算法:

算法简述:每次对候选字符进行任意次随机位数选择,拼接之后检查是否重复

若要求位数为 2,则其对应短地址为计算过程如下:

①设置字符序列 “0123456789abcdefghijklmnopqrstuvwxyz” 

②根据字符个数设置最大值为 35,最小值为 0,取 2 次随机数假设为:6,17

③依次取上述字符的 6 位和 17 位,则为 6h

其生成之后的短网址为 xx.xx/6h 

(3)HASH 算法:

算法简述:对 id 进行 hash 操作( 可选:利用随机数进行加盐),并检查是否重复

设置 ID 自增,若 ID=233,则其对应短地址为计算过程如下:

①取随机数为盐

②对 233 进行 sha1 加密为:aaccb8bb2b4c442a7c16a9b209c9ff448c6c5f35:2

③要求位数为 7,直接取上述加密结果的前 7 位为:aaccb8

其生成之后的短网址为 xx.xx/2e8c027 

了解完长网址转为短网址的流程之后,我们下边主要简单说明下短网址转化为长网址的流程,用户访问短网址,短网址服务返回一个 302 或者 301 的响应,从而跳转到长网址。这个地方,几乎所有短网址服务商会选择 302,因为 302 方便统计和分析用户属性等数据。

二、短网址服务风险

由于短网址服务自身存在的设计缺陷问题,尤其是一般短网址采用 6 位或者 7 位字母和数字的集合,可以被很好的预测,从而被针对性的爆破。

而在爆破中最重要的一个步骤就是如何检测当前短网址使用的算法,从而生成该算法对应的字典,下边我们给出一些常见的算法检测过程:

1、进制算法

(1)第三方短网址服务

针对第三方的短网址服务,可以多次输入网址,查看返回短网址是否连续,连续则为进制算法,如下: 

此外注意,由于个别为分布式短网址服务,id 非单一递增,会出现多个字符规律变化,如:87BNwj、87BO82、87BOqw、87BOGz、87BPpD

(2)自营短网址服务:

对于自营短网址服务可以采用以下两个步骤进行,,

① 直接访问 xx.xxx/1 及 xx.xxx/2 低位等后缀,若均存在基本可以判定使用了进制算法进行转换。

② 对存在记录的后缀进行增加或减少尝试,若均存在记录或者规律间隔存在记录则基本认为使用了进制算法。

即:若某短网址存在 http://xxx.xx/Abzc4 ,对 Abzc4 中最后一个单字符 {0-Z} 共 62 次变化。若均存在记录或存在 a,c,e 等有规律间隔情况,则同样可以认为使用了进制算法。

2、hash 算法 & 随机数算法

(1)第三方短网址服务

对于第三方可以多次输入网址,查看返回短网址是否连续,不连续无规律则为 HASH 算法 & 随机数算法。如下图:

(2)自营短网址服务

① 直接访问 xx.xxx/1 及 xx.xxx/2 低位等后缀,若均不存在则进行步骤 2。 

② 对存在记录的后缀进行增加或减少尝试,若非均匀间隔存在记录则基本认为使用了进制算法。

即:若某短网址存在 http://xxx.xx/Abzc4 ,对 Abzc4 中最后一个单字符 {0-Z} 共 62 次变化。若无明显规律则基本认为为 HASH & 随机数算法 

接下来,我们分享一下短网址的两个攻击场景,第一个是由于部分短网址在传输过程使用了含有敏感权限和敏感信息的长网址,由此造成大量个人信息泄露:,第二个是由于短网址的可预测和可爆破,有时候可能会产生一些想象不到的效果。 

案例一:爆破短网址服务获取大量服务、系统敏感信息: 

1、获取个人信息

http://xx.xx/auth?contractId=d57f17139247036b72**b5554a830305ec139d 

2、获取合同

https://xx.xx/get.action?transaction_id=290414*03784&msg_digest=RUQ2MUQ5NjcxQzc5MjcxQ****4QTExNTZFNjgzQTJENEExQjc5Nw==

3、重置密码

https://xx.xx/resetPassword?emailType=RESET_PASSWORD&encryptionEmail=](https://xx.xx/resetPassword?emailType=RESET_PASSWORD&encryptionEmail=)***GHOsR%2FMfiNEv8xOC29.&countersign=eyJhbGciOiJIUzUxMiJ9.eyJBQlNPTFVURV9FWFBJUkVfVElNRV9NSUxMUyI6IjE1M******zA1OTMxNjU4OTQiLCJORVdfRU1BSUwiOiJ5YW54aXUwNjE0QGdtYWlsLmNvbSIsIlRPS0VOX1RZUEUiOiJSRVNFVF9QQVNTV09SRCIsIkVNQUlMIjoieWFueGl1MDYxNEBnbWFpbC5jb20ifQ

其实单从上边的爆破出来的链接来看,每一个都极其的难以猜解,但是正是因为使用了短网址,从而把一些非常难猜解的高维度信息降低成了非常容易预测的低维度信息,就像你造了很坚固的房门,但是别人手里却有备用钥匙。

案例二:业务安全攻击链

1、邀请链接直接发送给邀请人,邀请人点击即可完成注册;

2、邀请链接以短网址发送;

3、批量邀请,爆破短网址,批量点击注册,即可完成薅羊毛;

某个应用有老用户邀请新用户的赚赏金活动,邀请链接以短网址形式发送给新用户,新用户点击链接之后,则赏金会放到老用户账户之中。那么在这个活动中,攻击者用户 A 可以随机选择两个手机号,我们分别用用户 B 和用户 C 来代替这两个用户,那么攻击用户 A 邀请随机选择的这两个手机号,之后直接爆破短网址进行确认,则在 B 和 C 不知情的情况下完成了赏金的领取。

三、短网址服务漏洞

其实当短网址出现短网址被猜解、爆破的问题,那么是不是会出现其他的问题,所以我们还对其进行了其他的安全测试。 

1、SSRF 安全问题

远程访问功能在过滤不严谨的情况下会造成 SSRF,测试时使用自定义域名绑定一个内网地址之后进行访问,该短网址服务展示了长网址的 TITLE,如下成功访问到了内网地址:

2、获取 TITLE 功能和展示长网址页面,在过滤不严谨的情况下,造成 XSS。

部分短网址服务提供了长网址 TITLE 的展示功能和在当前页展示长网址的功能,在过滤不严谨的情况下也会造成 xss。

如上图中 cve 为在展示长网址页面造成了 xss 问题。而同时取 title 并在页面上展示也会造成 xss,比如可以构造 payload:“