短链接虽然便利性高,但存在链接目标不可见这一安全隐患。OWASP (Open Web Application Security Project) 将"未验证的重定向和转发"列为安全风险,短链接属于此类别。欢迎参阅在 Amazon 搜索网络安全入门书籍。本文将基于技术依据解说短链接的安全风险与对策。
短链接最大的安全风险在于链接目标网址被隐藏。普通网址可以通过域名在一定程度上判断链接目标的可信度。然而,短链接的目标不明,可能被恶意利用引导至钓鱼网站或恶意软件分发网站。根据 Anti-Phishing Working Group (APWG) 2023 年报告,约 8% 的钓鱼攻击通过短链接进行,同比增加 1.5 个百分点。
以下介绍 3 种典型的钓鱼攻击模式。第一,在伪装成正规服务的邮件中嵌入短链接,引导至虚假登录页面。由于短链接隐藏了域名,收件人难以区分正规网站。第二,在 SNS 帖子或私信中包含短链接,引导至恶意软件下载页面。第三,将恶意短链接嵌入二维码并在公共场所张贴的"QRishing"手法近年来日益增多。
预览功能是确保短链接安全的最基本对策。可靠的短链接服务提供可以事先确认链接目标信息的预览功能。通过预览可以确认跳转目标网址、页面标题、OGP 信息、是否使用 HTTPS 等,提前检测可疑链接。
确认 HTTPS 是重要的安全检查点。如果链接目标未使用 HTTPS,通信内容存在被窃听的风险。特别是涉及登录信息或个人信息输入的页面链接,务必确认是否使用 HTTPS。
技术对策方面,CSP (Content Security Policy) 头和 Referrer 策略的设置很有效。使用 CSP 头的 navigate-to 指令可以限制页面的跳转目标域名。不过,navigate-to 截至 2024 年主要浏览器的支持仍然有限,因此将其定位为辅助对策较为现实。将 Referrer 策略 (Referrer-Policy 头) 设置为 strict-origin-when-cross-origin,可以控制向短链接服务泄露 Referrer 信息,防止重定向来源页面的信息被不必要地发送给第三方。
利用密码保护功能可以限制短链接的访问。分享机密性高的信息时,使用带密码的短链接,并通过其他通信手段 (电话、其他消息应用等) 分享密码,可以增强安全性。
设置有效期也是有效的安全对策。为短链接设置有效期,可以降低不再需要的链接被长期滥用的风险。OWASP 的指南也建议将重定向网址的有效期设置为必要的最短时间。
缺点方面,安全对策过于严格会降低便利性,存在权衡关系。有调查结果显示,强制显示预览会使点击率下降 20% 至 30%,在营销用途中可能适得其反。根据用途灵活调整安全级别非常重要。机密信息的分享应同时使用密码保护和有效期,营销用途则将预览功能作为可选项提供,这是较为现实的平衡方案。
作为组织的安全策略,应制定仅使用可靠短链接服务的规则。不点击来源不明的短链接、内部分享仅使用经批准的服务、定期开展安全教育等,提升整个组织的安全意识至关重要。
相关书籍:如果您想系统学习 Web 安全,推荐在 Amazon 搜索相关书籍。