¿Cómo verificar si un enlace es seguro o no? [cerrado]

Navega tus respuestas
2

He estado trabajando en una tarea para encontrar amenazas en una red social llamada Skyrock . Para lo cual, he logrado recuperar una cantidad significativa de URLs rastreando varios perfiles de usuarios y analizando los datos en busca de URLs. Básicamente, estas URL son parte de los datos que algunos de los usuarios comparten públicamente en la red. Ahora, quiero comprobar si alguna de estas URL es maliciosa o no.

Sé que hay muchos escáneres de url en línea disponibles en Internet para buscar un enlace malicioso, pero no quiero usar ninguno de ellos. En su lugar, quiero usar información que pueda recuperar acerca de una URL, usando una API de terceros, por ejemplo: ubicación (lat, largo), redirecciones de url , recuento de redireccionamientos , entradas de DNS , etc. ¿Se puede usar cualquiera de estas propiedades para verificar si una URL en particular es maliciosa o no? ¿Qué otra información sobre un enlace necesito comprobar si es malicioso o no?

Nota: un enlace malicioso, en este caso, podría ser un enlace a un sitio de suplantación de identidad, un enlace de spam o un enlace que te hace descargar algún malware. Solo quiero saber qué propiedades relacionadas con un enlace son útiles para saber si un enlace está incluido en estas categorías de malicia o no.

    
pregunta Rahil Arora 11.11.2013 - 10:18
fuente

1 respuesta

2

Los analizadores de URL en línea tienen tres métodos para verificar que las URL sean maliciosas:

  1. Listas negras de URL mal conocidas. Alguien reportó esa URL como maliciosa y la ingresó en una base de datos. Estos casos son triviales para verificar el escáner, pero requieren un esfuerzo constante para mantener la base de datos actualizada. Teniendo en cuenta que muchos sitios web de servicio de malware solo existen durante horas antes de que sean eliminados por el proveedor de alojamiento o "no hackeados" por su administrador real , caducan muy rápidamente.
  2. Ejemplos de malware conocidos. Descargan el sitio web vinculado y luego usan una base de datos de exploits basados en web conocidos para buscar cadenas de firmas que indiquen que lo está usando. El tiempo de vida media de tales entradas de la base de datos es mucho más largo que el de las URL, ya que existen algunas explotaciones comunes de uso que se implementan una y otra vez en miles de URL. Este método no ayuda contra las vulnerabilidades del día cero y puede dejarse engañar por las vulnerabilidades auto-escritas para las vulnerabilidades conocidas o la explotación de explotaciones de valores a través de un ofuscador.
  3. Heurística. Al analizar el código HTML y ejecutar el contenido dinámico en un arenero, pueden encontrar comportamientos sospechosos y reportarlo. Al igual que con los escáneres de virus normales, el potencial de falsos positivos es muy alto.

Tenga en cuenta que los métodos 2 y 3 no son infalibles. El sitio web malintencionado podría intentar detectar que el analizador de URL lo ha descargado y mostrar contenido diferente del que serviría a un visitante habitual.

    
respondido por el Philipp 11.11.2013 - 15:06
fuente

Lea otras preguntas en las etiquetas

Diferencias fundamentales entre la identificación digital y los certificados de seguridad SSL "mantener abierto" cifrado en casa con un servidor local