La inseguridad de los acortadores de URL
Si recuerdan el
post sobre XSS de la serie que explica las vulnerabilidades TOP 10
en aplicaciones web de OWASP de este año, en éste les comentábamos los
potenciales problemas de seguridad que podían enmascararse con el uso de
los extendidos servicios de reducción de tamaño en las URL. Si todavía
hoy alguien no los conoce, estos servicios se encargan de reducir el
tamaño de una URL determinada a una nueva URL con una longitud
predeterminada e inferior, en la que se mapea el enlace de forma que
pueda ser utilizado en servicios como twitter que tienen un número
limitado de caracteres; el incremento de popularidad de esta “nueva” red
social ha hecho que este tipo de servicios se multipliquen como las
setas. De esta manera, se facilita el incorporar enlaces largos en
entradas de este tipo de servicios.
A modo de ejemplo, una url del tipo:
Para que podamos hacernos una idea concreta de la utilización de este tipo de servicios por páginas web con contenido malicioso podemos utilizar los servicios de safebrowsing de Google. Por ejemplo, con el acortador de enlaces tiny URL en la siguiente página web:
Obtenemos los siguientes datos:
No creo que haga falta explicar mucho la imagen: troyanos, exploits… Un nada despreciable, desde mi punto de vista, 2% de las páginas analizadas contenían algún problema de seguridad, entre los considerados y detectados por el servicio de Google. Por supuesto, esto no significa que no se deba usar los enlaces cortos, o que en cuanto se vea una página con estos enlaces se deba cerrar instantáneamente para evitar ser expuestos. Sin embargo, deben ser utilizados con precaución.
No obstante, existe una alternativa mejor, desde mi punto de vista, que consiste en aprovechar una extensión de Firefox denominada LongUrlPlease, cuya funcionalidad consiste en localizar las url de cerca de 80 servicios que se encargan de realizar la reducción de longitud y convertir en el navegador del usuario el enlace mostrado por su correspondiente enlace destino, tal y como se muestra en la imagen siguiente:
De esta forma, se obtienen los beneficios esperados del uso de los acortadores y las ventajas de seguridad que permiten conocer el destino de los enlaces antes de seguirlos.
Autor: David Monteagudo
Fuente: Security Art Work
A modo de ejemplo, una url del tipo:
- http://www.securityartwork.es/2010/03/10/owasp-top-10-ii-xss/
- http://tiny.cc/7rvdi
Para que podamos hacernos una idea concreta de la utilización de este tipo de servicios por páginas web con contenido malicioso podemos utilizar los servicios de safebrowsing de Google. Por ejemplo, con el acortador de enlaces tiny URL en la siguiente página web:
- http://www.google.com/safebrowsing/diagnostic?site=tinyurl.com/&hl=es
No creo que haga falta explicar mucho la imagen: troyanos, exploits… Un nada despreciable, desde mi punto de vista, 2% de las páginas analizadas contenían algún problema de seguridad, entre los considerados y detectados por el servicio de Google. Por supuesto, esto no significa que no se deba usar los enlaces cortos, o que en cuanto se vea una página con estos enlaces se deba cerrar instantáneamente para evitar ser expuestos. Sin embargo, deben ser utilizados con precaución.
No obstante, existe una alternativa mejor, desde mi punto de vista, que consiste en aprovechar una extensión de Firefox denominada LongUrlPlease, cuya funcionalidad consiste en localizar las url de cerca de 80 servicios que se encargan de realizar la reducción de longitud y convertir en el navegador del usuario el enlace mostrado por su correspondiente enlace destino, tal y como se muestra en la imagen siguiente:
De esta forma, se obtienen los beneficios esperados del uso de los acortadores y las ventajas de seguridad que permiten conocer el destino de los enlaces antes de seguirlos.
Autor: David Monteagudo
Fuente: Security Art Work
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!