短网址安全浅谈

前言

一、短网址基础

其实对于短网址服务最核心的问题就是短网址的转换算法。那么常用的短网址算法有哪些呢？我们分析了GitHub上star数量最多的十个短网址服务对应的算法，大致分为三类：进制算法、随机数算法和HASH算法。

（1）进制算法：

算法简述：一个以数字、大小写字母共62个字符的任意进制的算法。 

数据库中ID递增，当ID为233，则对应短网址计算过程如下： 

（2）随机数算法：

算法简述：每次对候选字符进行任意次随机位数选择，拼接之后检查是否重复 

若要求位数为2，则其对应短地址为计算过程如下： 

①设置字符序列“0123456789abcdefghijklmnopqrstuvwxyz”

②根据字符个数设置最大值为35，最小值为0，取2次随机数假设为：6,17

③依次取上述字符的6位和17位，则为6h

其生成之后的短网址为xx.xx/6h

（3）HASH算法：

算法简述：对id进行hash操作（ 可选：利用随机数进行加盐），并检查是否重复 

设置ID自增，若ID=233，则其对应短地址为计算过程如下： 

①取随机数为盐

②对233进行sha1加密为： aaccb8bb2b4c442a7c16a9b209c9ff448c6c5f35:2

③要求位数为7，直接取上述加密结果的前7位为：aaccb8

其生成之后的短网址为xx.xx/2e8c027

二、短网址服务风险

由于短网址服务自身存在的设计缺陷问题，尤其是一般短网址采用6位或者7位字母和数字的集合，可以被很好的预测，从而被针对性的爆破。
而在爆破中最重要的一个步骤就是如何检测当前短网址使用的算法，从而生成该算法对应的字典，下边我们给出一些常见的算法检测过程：

1、进制算法

（1）第三方短网址服务 

对于自营短网址服务可以采用以下两个步骤进行，，
① 直接访问xx.xxx/1及xx.xxx/2低位等后缀，若均存在基本可以判定使用了进制算法进行转换。
② 对存在记录的后缀进行增加或减少尝试，若均存在记录或者规律间隔存在记录则基本认为使用了进制算法。
即：若某短网址存在http://xxx.xx/Abzc4 ，对Abzc4中最后一个单字符{0-Z}共62次变化。若均存在记录或存在a，c，e等有规律间隔情况，则同样可以认为使用了进制算法。

2、hash算法&随机数算法

（1）第三方短网址服务 

对于第三方可以多次输入网址，查看返回短网址是否连续，不连续无规律则为HASH算法&随机数算法。如下图：

（2）自营短网址服务 

① 直接访问xx.xxx/1及xx.xxx/2低位等后缀，若均不存在则进行步骤2。
② 对存在记录的后缀进行增加或减少尝试，若非均匀间隔存在记录则基本认为使用了进制算法。

即：若某短网址存在http://xxx.xx/Abzc4 ，对Abzc4中最后一个单字符{0-Z}共62次变化。若无明显规律则基本认为为HASH&随机数算法
接下来，我们分享一下短网址的两个攻击场景，第一个是由于部分短网址在传输过程使用了含有敏感权限和敏感信息的长网址，由此造成大量个人信息泄露：，第二个是由于短网址的可预测和可爆破，有时候可能会产生一些想象不到的效果。

案例一：爆破短网址服务获取大量服务、系统敏感信息：

案例二：业务安全攻击链 

1、邀请链接直接发送给邀请人，邀请人点击即可完成注册；
2、邀请链接以短网址发送；
3、批量邀请，爆破短网址，批量点击注册，即可完成薅羊毛；
某个应用有老用户邀请新用户的赚赏金活动，邀请链接以短网址形式发送给新用户，新用户点击链接之后，则赏金会放到老用户账户之中。那么在这个活动中，攻击者用户A可以随机选择两个手机号，我们分别用用户B和用户C来代替这两个用户，那么攻击用户A邀请随机选择的这两个手机号，之后直接爆破短网址进行确认，则在B和C不知情的情况下完成了赏金的领取。

三、短网址服务漏洞 

其实当短网址出现短网址被猜解、爆破的问题，那么是不是会出现其他的问题，所以我们还对其进行了其他的安全测试。
1、SSRF安全问题
远程访问功能在过滤不严谨的情况下会造成SSRF，测试时使用自定义域名绑定一个内网地址之后进行访问，该短网址服务展示了长网址的TITLE，如下成功访问到了内网地址： 

进行拼接查询时会造成SQL注入。在测试中我们先进行了and 1=1的测试，发现可以正常读取，如下图： 

四、短网址防御实践

五、影响范围