(Ab)uso de acortadores de URL
Al calor de Twitter se han popularizado sobremanera los acortadores de direcciones, el primero en saltar a la fama fue TinyUrl y posteriormente han surgido muchos mas servicios, cada uno intentando aportar 'algo mas' que el vecino.
Sin entrar a valorar lo útiles / poco útiles que son estos servicios, si que merece la pena dar un repaso sobre los potenciales riesgos de seguridad que pueden suponer.
El problema mas obvio es que supone un punto único de fallo, si el servicio se cae o deja de estar accesible, todos los enlaces quedan inaccesibles, este escenario ya ha sucedido cuando Telefónica bloqueó TinyURL.
Pero el escenario aun puede ser mas terrorífico, como es lógico un servicio de esta naturaleza es un verdadero lamín para alguien con intenciones maliciosas, si controlas el acortador, puedes hacer que las URLs acortadas sean redirigidas arbitrariamente. Este fue el caso de Cligs que fue hackeado y todas las URLs que servía apuntaron a la dirección web de un blog (aunque todo parece indicar que se trató de una broma), el caso es que Cligs a día de hoy es el cuarto acortador mas usado, y 2.2 millones de direcciones fueron manipuladas. Si en vez de 'para hacer una broma' se hubiera empleado para distribuir malware aprovechando algún bug, hubiera sido demoledor.
Otro punto negativo de los acortadores es que cada vez mas están siendo empleados por spammers para camuflar direcciones web que estén identificadas en listas negras, y de esa forma evitar filtros anti-spam.
Al hilo de esto, nos ha parecido interesante probar que tal se comportan algunos de los servicios para validar URLs y comprobar si son capaces de ver 'mas allá' del enmascaramiento
Contenido completo en Security by Default
Sin entrar a valorar lo útiles / poco útiles que son estos servicios, si que merece la pena dar un repaso sobre los potenciales riesgos de seguridad que pueden suponer.
El problema mas obvio es que supone un punto único de fallo, si el servicio se cae o deja de estar accesible, todos los enlaces quedan inaccesibles, este escenario ya ha sucedido cuando Telefónica bloqueó TinyURL.
Pero el escenario aun puede ser mas terrorífico, como es lógico un servicio de esta naturaleza es un verdadero lamín para alguien con intenciones maliciosas, si controlas el acortador, puedes hacer que las URLs acortadas sean redirigidas arbitrariamente. Este fue el caso de Cligs que fue hackeado y todas las URLs que servía apuntaron a la dirección web de un blog (aunque todo parece indicar que se trató de una broma), el caso es que Cligs a día de hoy es el cuarto acortador mas usado, y 2.2 millones de direcciones fueron manipuladas. Si en vez de 'para hacer una broma' se hubiera empleado para distribuir malware aprovechando algún bug, hubiera sido demoledor.
Otro punto negativo de los acortadores es que cada vez mas están siendo empleados por spammers para camuflar direcciones web que estén identificadas en listas negras, y de esa forma evitar filtros anti-spam.
Al hilo de esto, nos ha parecido interesante probar que tal se comportan algunos de los servicios para validar URLs y comprobar si son capaces de ver 'mas allá' del enmascaramiento
Contenido completo en Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!