, 6 abril 2010 | Imprime

Si recuerdan el post sobre XSS de la serie que explica las vulnerabilidades TOP 10 en aplicaciones web de OWASP de este año, en éste les comentábamos los potenciales problemas de seguridad que podían enmascararse con el uso de los extendidos servicios de reducción de tamaño en las URL. Si todavía hoy alguien no los conoce, estos servicios se encargan de reducir el tamaño de una URL determinada a una nueva URL con una longitud predeterminada e inferior, en la que se mapea el enlace de forma que pueda ser utilizado en servicios como twitter que tienen un número limitado de caracteres; el incremento de popularidad de esta “nueva” red social ha hecho que este tipo de servicios se multipliquen como las setas. De esta manera, se facilita el incorporar enlaces largos en entradas de este tipo de servicios.

A modo de ejemplo, una url del tipo:

http://www.securityartwork.es/2010/03/10/owasp-top-10-ii-xss/

Se traduce con uno de estos servicios en:

http://tiny.cc/7rvdi

Desde el punto de vista de la seguridad, el problema de estos servicios es que ocultan completamente la dirección de la página a la que se va a acceder bajo la apariencia de un enlace seguro, permitiendo de este modo a un potencial atacante ocultar tanto el código “incrustado” en la propia URL en forma de parámetros o sentencias complejas, como el potencial destino malicioso de la URL verdadera.

Para que podamos hacernos una idea concreta de la utilización de este tipo de servicios por páginas web con contenido malicioso podemos utilizar los servicios de safebrowsing de Google. Por ejemplo, con el acortador de enlaces tiny URL en la siguiente página web:

http://www.google.com/safebrowsing/diagnostic?site=tinyurl.com/&hl=es

Obtenemos los siguientes datos:

No creo que haga falta explicar mucho la imagen: troyanos, exploits… Un nada despreciable, desde mi punto de vista, 2% de las páginas analizadas contenían algún problema de seguridad, entre los considerados y detectados por el servicio de Google. Por supuesto, esto no significa que no se deba usar los enlaces cortos, o que en cuanto se vea una página con estos enlaces se deba cerrar instantáneamente para evitar ser expuestos. Sin embargo, deben ser utilizados con precaución.

No obstante, existe una alternativa mejor, desde mi punto de vista, que consiste en aprovechar una extensión de Firefox denominada LongUrlPlease, cuya funcionalidad consiste en localizar las url de cerca de 80 servicios que se encargan de realizar la reducción de longitud y convertir en el navegador del usuario el enlace mostrado por su correspondiente enlace destino, tal y como se muestra en la imagen siguiente:

De esta forma, se obtienen los beneficios esperados del uso de los acortadores y las ventajas de seguridad que permiten conocer el destino de los enlaces antes de seguirlos.

(Puedes seguirnos en Twitter: @SecurityArtWork)
No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...




11 comentarios a “La inseguridad de los acortadores de URL”

(Tenga en cuenta que los comentarios en español y en inglés están mezclados por lo que puede necesitar un traductor online para entender los comentarios de otros usuarios)

[...] La inseguridad de los acortadores de URL http://www.securityartwork.es/2010/04/06/la-inseguridad-de-los-acor…  por MarketingPositivo hace 3 segundos [...]

La inseguridad de los acortadores de URL [web], 6 de abril de 2010, 10:44 am

Social comments and analytics for this post…

This post was mentioned on Twitter by Securityartwork: David Monteagudo comenta los riesgos de los acortadores de URL: http://bit.ly/dmieSm (el enlace es seguro, tranquilos :)…

uberVU – social comments [web], 6 de abril de 2010, 11:24 am

¿Existe alguna solución para otros navegadores cómo Chrome, IE o Safari?

brtl [web], 7 de abril de 2010, 1:58 pm

No conozco excesivamente el uso de las extensiones en los navegadores que comentas, pero la longurlplease, dispone, además de un plugin para firefox de un bookmarklet que me imagino se podrá utilizar en otro navegador.
Además, el API es público, por lo que si no existen estas extensiones cualquiera se puede animar a desarollar su propia extensión para el navegador.

David Monteagudo [web], 7 de abril de 2010, 3:59 pm

bit.ly permite acortar una url y tambien obtener la url original en base a una ya acortada con la misma herramienta.

Zerial [web], 7 de abril de 2010, 5:00 pm

Zerial la ventaja del uso de la extensión es que dispones automáticamente de 80 servicios acortadores y que en la página que visitas no se visualiza el enlace corto sino el largo.
Si tienes 1 enlace puede ser que prefieras ir a la página del acortador para comprobar dónde va dirigido, pero si tienes 10, es mejor, desde mi punto de vista, tener algo automático que lo haga por ti.

David Monteagudo [web], 7 de abril de 2010, 5:06 pm

[...] La inseguridad de los acortadores de URL [...]

de la red – 7/04/2010 « Tecnologías y su contexto [web], 8 de abril de 2010, 2:47 am

[...] La inseguridad de los acortadores de URL (vía Security Art Work) [...]

Internet de Nueva Generación (UPM) » Blog Archive » Acortadores de Direcciones [web], 8 de abril de 2010, 9:51 pm

[...] permite comodidades para el que publica mensajes en una red social, pero para el receptor de estos conlleva un peligro, que eventualmente se nos quiera jugar una broma pesada, que nos estén metiendo un [...]

» Knowurl.com descubre a dónde van esas URL’s acortadas | Informática Práctica | [web], 11 de abril de 2010, 1:18 am

[...] han pasado un artículo de SecurityArtWork muy interesante sobre lo inseguras que pueden ser las URL acortadas que se usan en Twitter y otras [...]

La inseguridad de los acortadores de URL | Omeyas Web [web], 14 de abril de 2010, 9:02 am

[...] permiten conocer el destino de los enlaces antes de seguirlos. Autor:  David Monteagudo Fuente: Security Art Work y [...]

La inseguridad de los acortadores de URL: Informática Legal [web], 28 de abril de 2010, 3:14 pm

Deja un comentario

(Los datos que nos proporciones serán incorporados al fichero LECTORES DEL BLOG cuyo responsable es S2 Grupo, cuya única finalidad es la gestión de las acciones e interacciones que se desarrollen con los usuarios de los blogs de S2 Grupo, entre los que se encuentra Security Art Work. Los datos recogidos no serán en ningún caso cedidos a terceras partes ni tratados para una finalidad distinta a la indicada. Puedes ejercer tus derechos de Acceso, Rectificación, Cancelación y Oposición enviando un correo a admin@securityartwork.es, en el que deberás proporcionarnos la información necesaria para verificar tu identidad. Para cualquier otra consulta o duda relativa a cómo gestionamos tus datos personales, puedes utilizar el mismo correo electrónico.)