短域名这个技术很早就出现了。
不过把它发扬光大的看来是各种的微博。
之前写过一篇各大网站短域名安全性的对比,当时的安全性惨不忍睹 ,连最基本的<script>脚本也没有过滤 ,当时就说各种XSS可以通过短域名重获新生了 。
在年初的时候,专门对sina微博又去实验了一把,发现针对XSS的bug 基本都已经修复了,连最晚发现的那个针对外部分享转短域名可以绕过的那个问题也修复了。
现在转短域名的安全防护应该已经很成熟了,在做安全测试过程中,针对短域名遇到的一些安全问题也可以分享交流下。
短域名有什么用 ?
1、 避免超长的链接,在页面上展示
诸如微博那样的平台,一共就140个字,一个链接占了一半,根本就没法在写内容了
2 、 移动平台方便观看
在手机端,超长链接的使用非常不方便
3 、 域名方便统一
所有链接全部统一处理成统一短域名格式
短域名在攻击方面有什么用?
1、 针对XSS绕过
如某网站存在xss漏洞,以反射性为例,如
http://a.com/index?w=<script>aelrt(1)</script> 经URL转码之后
http://a.com/index?w=%3Cscript%3Eaelrt(1)%3C/script%3E
这样的目标非常明显,而且在旺旺中这样的链接是发送不了的
而如果将这些链接经过短域名处理之后,如 http://a.net/AFHSJYR
这样的链接,由于无法直接验证,只能提示是风险链接