www.ft12.com 為您提供：,短網址程序,短網址服務,短網址轉換,短網址API接口,短鏈接生成器,批量生成短鏈接,短網址生成,壓縮所有網址包括圖片、flash、mp3、rar等所有互聯網地址，專業的網址縮短網站！

來自Cornell Tech的安全研究員Vitaly Shmatikov和Martin Georgiev發現，如果web短網址服務采用了可預測性的操作，就可能會泄露網站的敏感信息。

專家們分析了主流的短網址服務，其中包括Google、Bit.ly和微軟。他們發現，通過枚舉短網址，可以發現網絡上的敏感信息。比如，研究人員就發現了指向微軟OneDrive文件夾（未經過加密）的短網址。

Shmatikov在一篇博文中提到：

“由bit.ly和goo.gl以及類似的服務，因為太短可以被暴力枚舉和掃描。我們的掃描結果發現了一大堆微軟OneDrive賬戶，以及里面的私人文檔。它們中的許多都處于開放狀態，任何人都可以向其中寫入惡意軟件，用戶設備訪問之后就會自動下載。”

專家們還發現，短網址服務還可能泄露用戶的個人信息。

我們還發現了許多能泄露個人敏感信息的行車路線，比如用戶去的那些醫療設施、監獄和成人場所。

為此，他們寫出了一篇題為《六字符分析：短網址對云服務之害》的文章。

谷歌和微軟將聯手推出新的更安全的短網址服務，當然舊的服務仍然存在漏洞。

研究人員解釋，短網址服務通過域名與一個五到七位的字符串組成，但它的簡潔性和產生機制可以讓攻擊者進行爆破枚舉攻擊。

Shmatikov解釋道：

“那些token字符串非常短，所以url是可以被爆破枚舉的。實際上，原本的長url是長期公開存在的。任何人只要花費一點耐心，借助一些機器的運算就可以發現它們的蹤跡�！�

大概枚舉掃描一億的url后，專家發現超過110萬公開的OneDrive文件，其中包括普通和可執行文件。

在我們掃描的一億bit.ly短網址url樣本中，隨機選擇了6位字符串作為token的url。其中，有42%是指向有效存在的url地址的，而有19524的url指向了OneDrive / SkyDrive文化和文件夾，并且其中大部分都是可用的。然而，這僅僅是個開始。

在對谷歌短網址的隨機枚舉掃描過程中，專家們發現了在23965718個鏈接中，有10%包含行車目的地的敏感信息，比如治病的醫院、打胎的診所，甚至脫衣舞俱樂部。

這表明，短網址服務可能會暴露敏感內容給第三方，專家建議采取措施來限制自動枚舉掃描的行為。

專家提示：

“使用你自己的解析器和token，而不是去使用bit.ly。并且，我們需要檢測并限制相應的枚舉掃描行為，考慮使用驗證碼等技術來阻止機器掃描。最后，設計一個更好的api，使得某個特定的url不會泄露用戶分享的其他url。”