- Регистрация
- 08.07.2015
- Сообщения
- 2 848
- Благодарностей
- 712
- Баллы
- 113
Исследователи предположили, что укороченные URL-адреса обладают фундаментальным недостатком, заложенным в самой концепции такого подхода — небольшое количество символов.
Наиболее популярные сокращатели предоставляют токены длиной от 5 до 7 символов, что позволяет методом прямого перебора получить доступ ко всем ресурсам, на которые был сгенерирован короткий адрес.
Например, для получения базы всех 6-символьных токенов популярного сервиса bit.ly надо потратить около 250 тысяч клиенто-дней, что, по словам авторов, позволяет с помощью ботнета соответствующих размеров получить эти данные всего за сутки.
В своей работе исследователи обратили внимание на различные картографические сервисы и облачные хранилища данных. Например, проанализировав свыше 42 миллионов адресов bit.ly (около 0,003 процента пространства имен шестисимвольных токенов), авторы обнаружили 3003 ссылки, ведущих на облачный сервис OneDrive, при этом 2130 из этих ссылок оказались действующими. Таким образом, если укороченный URL использовался для ссылки на данные из облачного сервиса, то посторонний человек может получить доступ к информации, ссылка на которую никогда не публиковалась в открытом доступе. При этом, по словам авторов, по служебной информации из такой ссылки можно получить доступ и к другим файлам и каталогам этой учетной записи. Кроме того, по оценке исследователей, в общей сумме около семи процентов найденных аккаунтов OneDrive содержат в себе каталог, открытый для записи — это позволяет потенциальному злоумышленнику произвести массовую загрузку вредносного программного обеспечения, которое облачный сервис сам скопирует на устройства пользователей во время запланированной синхронизации.
Наиболее популярные сокращатели предоставляют токены длиной от 5 до 7 символов, что позволяет методом прямого перебора получить доступ ко всем ресурсам, на которые был сгенерирован короткий адрес.
Например, для получения базы всех 6-символьных токенов популярного сервиса bit.ly надо потратить около 250 тысяч клиенто-дней, что, по словам авторов, позволяет с помощью ботнета соответствующих размеров получить эти данные всего за сутки.
В своей работе исследователи обратили внимание на различные картографические сервисы и облачные хранилища данных. Например, проанализировав свыше 42 миллионов адресов bit.ly (около 0,003 процента пространства имен шестисимвольных токенов), авторы обнаружили 3003 ссылки, ведущих на облачный сервис OneDrive, при этом 2130 из этих ссылок оказались действующими. Таким образом, если укороченный URL использовался для ссылки на данные из облачного сервиса, то посторонний человек может получить доступ к информации, ссылка на которую никогда не публиковалась в открытом доступе. При этом, по словам авторов, по служебной информации из такой ссылки можно получить доступ и к другим файлам и каталогам этой учетной записи. Кроме того, по оценке исследователей, в общей сумме около семи процентов найденных аккаунтов OneDrive содержат в себе каталог, открытый для записи — это позволяет потенциальному злоумышленнику произвести массовую загрузку вредносного программного обеспечения, которое облачный сервис сам скопирует на устройства пользователей во время запланированной синхронизации.
