開放重定向: 您的網站有沒有被惡意利用?
原文:Open redirect URLs: Is your site being abused?
發表於:2009年1月30日星期五,下午5:17
沒有人願意被惡意軟件或網絡垃圾侵擾,這正是我們都樂意遵守網站安全運營推薦方法的原因。但是否有一種方式能讓網絡垃圾製造者無需在您的服務器中設置虛擬腳本就可以利用您的網站呢? 的確有,那就是通過濫用開放重定向網址。
網站管理員們經常會面對諸多需要幫助用戶重定向到其他頁面的情況。不幸的是,對任意目的地開放的重定向很可能被濫用。這是一個防不勝防的濫用形式,因為它充分利用了您網站的功能,而不是利用您網站的潛在缺陷或安全漏洞。網絡垃圾製造者試圖利用您的域名作為臨時登陸頁以將用戶、搜索用戶和搜索引擎誘騙到看似指向您的網站,實際上卻重定向到其垃圾網站的鏈接。
我們正在努力把濫用網址排除在我們的索引之外,但從您的角度確保您的網站沒有以這種方式被濫用也是非常重要的。您一定不希望您域名上的鏈接把用戶帶到一些充斥著色情圖片、惱人病毒、惡意軟件以及欺騙性企圖的網頁上來。網絡垃圾製造者會生成鏈接,並使之出現在搜索結果中,而這些鏈接往往指向那些您不想與之有任何瓜葛的垃圾網站。
最近這種濫用比較普遍,所以我們想讓您和其他網站管理員們對此有所瞭解。首先,我們將舉出一些重定向被濫用的例子,隨後我們將探討如何發現被濫用的網站以及如何對此進行處理。
被網絡垃圾製造者濫用的重定向
我們注意到,網絡垃圾製造者盯上了從大型知名企業到小型地方政府機構在內的各類網站。下面的列表是各種被廣泛使用的重定向的示例。這些都是合法的技術手段,但如果這些技術手段也正在您的網站上被應用的話,您要謹防濫用的發生。
- 將用戶重定向到服務器某一文件(如PDF文件)的腳本有時會很脆弱,容易被惡意利用。如果您使用的是可以上傳文件的內容管理系統( CMS ) ,您應該確認您網站下載區的鏈接是直接指向文件而不是通過重定向來指向的。請留意這樣的鏈接形式:
example.com/go.php?url=
example.com/ie/ie40/download/?
- 網站的內部搜索結果頁上有時有自動重定向選項,這也比較容易被惡意利用。請留意下面形式的網址,它們會將用戶自動重定向到「url="後所跟的網址上:
- 跟蹤點擊量的聯盟計劃系統、廣告程序或網站統計信息也是有被濫用危險的。示例網址包括:
example.com/cs.html?url=
- 代理網站,雖然這不完全是技術上的重定向,但它被設計成幫助用戶登錄其他網站,因此也比較容易遭到濫用。包括用於學校和圖書館的代理網站。例如:
proxy.example.com/?url=
- 在某些情況下,登錄頁會將用戶重定向回他們登錄前試圖訪問的頁面,而這也是容易遭惡意利用的。請留意類似這樣的網址參數:
example.com/login?url=
- 用戶離開網站時向用戶提供信息的緩衝網頁的腳本易被濫用。大量的教育機構,政府部門以及大型企業的網站採用這樣的腳本來讓告知用戶,您正在離開本站而前往訪問外部網站上的信息,例如以下網址模式:
example.com/out?
example.com/cgi-bin/redirect.cgi?
我的網站被惡意利用了麼?
除了上述網址實例外,您的網站還有可能開放了其他重定向方式。即使您本身不是網站程序開發人員,還是有許多簡單易行的方法可以檢查您的網站是否有被惡意利用的危險:
- 檢查被濫用的網址是否在谷歌搜索結果中出現。嘗試在搜索框中輸入[site:您的域名]搜索您的網站,看看是否有您不熟悉的內容出現在搜索結果中。您還可以在搜索詞中輸入一些按理說不應出現在您內容中的關鍵詞,如商業意味非常重的詞彙或是某些色情詞彙。正常情況下,搜索[site:您的域名 某色情詞彙]應該沒有結果,但如果您搜索到結果的話,那麼您就應該提高警惕了。您可以使用谷歌快訊進行自動搜索檢查。
- 您也可以留意顯示在網站管理員工具熱門搜索查詢中的看起來不太正常的搜索詞。如果您的網站是關於家族譜系學的,但在搜索查詢中卻大量出現色情、博彩等詞彙,那麼這可能是一個危險的信號。另一方面,如果您有一個藥物信息的網站,如果某名人的名字頻繁出現在您的熱門查詢中,那麼這也是不太正常的。請密切留意網站管理員工具消息中心中來自谷歌的任何信息。
- 檢查您的服務器日誌或網絡分析軟件包,看看有沒有陌生網址參數(比如 "=http:" 或 "=//")或某段時間某一重定向網址的訪問量突然增大的情況。您也可以在網站管理員工具中查看含有外部鏈接的網頁。
- 如果有用戶抱怨您網站的有不良內容或惡意軟件,而您又能極為肯定您的網站肯定不存在這些問題的話,那麼您也應該提高警惕。您的用戶可能被您域名上的某些網址帶到了含有惡意內容的其他網站上,而誤以為這些內容是屬於您的網站的。
我可以做些什麼呢?
遺憾的是,沒有一種簡單的方法能百分之百地確定您的重定向沒有被惡意利用。一個開放的重定向本身不是一個缺陷或安全漏洞,對一些用戶來說,重定向需要保持相對開放。但也有一些事情您是可以做的,以防止您的重定向被濫用,或者至少使它們不那麼容易成為惡意利用的目標,其中有些可能不是那麼簡單,您可能需要編寫一些自定義代碼,或是與您的供應商溝通看看能否使用給系統軟件打補丁的方式解決。
- 改變重定向代碼,增加檢查referer的環節。因為在大多數情況下,每個對重定向腳本的合法訪問和使用都應當通過您的網站,而不是搜索引擎或其他地方。您可能需要多一些理解,因為一些用戶的瀏覽器可能不會發送referer信息,但如果您發現有用戶來自外部網站,您可以予以阻止或警告。
- 如果您的腳本本意只是向用戶發送內部網頁或文件(例如,文件下載的網頁) ,您應該明確禁止任何指向外部的重定向。
- 考慮制定一個安全目的地網站的名單。在這種情況下,您的代碼將記錄所有向外重定向的鏈接,然後在向用戶進行重定向之前先根據這個名單進行檢查以確保重定向目的地是一個合法的經您許可的網站。
- 將您的重定向簽名加密。如果您的網站確實需要提供網址重定向,您可以將目標網址打散,並將加密簽名作為另外一個參數包含在實施重定向的網址上。這可以使您的網站在做重定向時無需向公眾開放你的網址轉向器。
- 如果重定向功能對您的網站來說可有可無,那麼建議您還是禁用或取消重定向功能。我們經常發現,對很多網站來說,網絡垃圾製造者是這些網站重定向功能的唯一使用者,這僅僅是因為網站建設初期這項功能被默認為啟用,而您對此毫無察覺。
- 使用robots.txt將搜索引擎排除在網站重定向腳本之外。儘管這不能完全解決問題,因為攻擊者仍然可以在垃圾郵件中使用您的域名,但這樣做可以使您的網站不那麼容易成為黑客的攻擊目標,而且用戶也不會被搜索結果中的惡意重定向網址欺騙。如果您的重定向腳本與其他腳本保存在同一個子文件夾裡,而且另外的腳本也沒有必要出現在搜索結果中的話,建議您將包含腳本的整個子目錄對搜索引擎封閉,這將增加攻擊者找到您腳本的難度,從而起到保護作用。
- 您也可以使用網站管理員工具移除那些被惡意利用的網址。但是,網絡垃圾製造者可能還攻擊、濫用了其他網站,並產生了大量指向您網站上垃圾網址的鏈接。如果您看到可疑的網站或垃圾論壇鏈接到您的網站,可以隨時向我們舉報網絡垃圾,當然我們更歡迎您註冊網站管理員工具並提交經過身份驗證的垃圾網站舉報。
目前,開放重定向的濫用成為一個越來越嚴重的問題,我們認為,如果更多的網站管理員對此有所瞭解,就會使攻擊者惡意利用的行為變得愈加困難。
歷史上的今天
- 溫哥華2010年冬奧會之滑雪Skiing - 2010
- 溫哥華2010年冬奧會之冰壺Curling - 2010
- AdSense for domains 中文發佈 - 2009
- 如何讓電腦開機時自動登入 方法:2 - 2008
- 如何讓Vista,XP電腦開機時自動登入 方法:1 - 2008
- 新國家誕生 科索沃獨立 - 2008
- 為甚麼一夜情找不到真愛 - 2008
