Come verificare se un collegamento è sicuro o no? [chiuso]

2

Ho lavorato su un'attività per trovare le minacce in un social network chiamato Skyrock . Per cui, sono riuscito a recuperare una quantità significativa di URL eseguendo la scansione di vari profili utente e analizzando i dati per gli URL. Questi URL sono fondamentalmente parte dei dati, che alcuni utenti condividono pubblicamente sulla rete. Ora, voglio controllare se qualcuno di questi URL è malevolo o meno.

So che ci sono molti scanner di url online disponibili su Internet per cercare un link malevolo, ma non voglio usare nessuno di questi. Invece, desidero utilizzare le informazioni che sono in grado di recuperare su un URL, utilizzando alcune API di terze parti, ad esempio: posizione (lat, long), reindirizzamenti URL , conteggio di reindirizzamento , voci DNS ecc. È possibile utilizzare una di queste proprietà per verificare se un determinato URL è dannoso o meno? Quali altre informazioni su un collegamento devo controllare se sono dannose o no?

Nota: un collegamento dannoso, in questo caso, potrebbe essere un collegamento a un sito di phishing, un collegamento di spam o un collegamento che ti fa scaricare malware. Voglio solo sapere quali proprietà relative ad un link sono utili per capire se un link rientra in queste categorie di malizia o no.

    
posta Rahil Arora 11.11.2013 - 10:18
fonte

1 risposta

2

Gli scanner di URL online hanno tre metodi per controllare che gli URL siano dannosi:

  1. Blacklist di noti URL non validi. Qualcuno ha segnalato che molto URL è malizioso e l'ha inserito in un database. Questi casi sono banali da controllare per lo scanner ma richiedono uno sforzo costante per mantenere aggiornato il database. Considerando che molti siti Web di pubblicazione di malware esistono solo per ore prima di essere rimossi dall'hoster o di essere "non hackerati" dal loro amministratore reale , scadono molto rapidamente.
  2. Esempi di malware noti. Scaricano il sito Web collegato e quindi utilizzano un database di noti exploit basati sul Web per cercare stringhe di firma in esso che indichino che ne sta usando uno. Il tempo di emivita di tali voci del database è molto più lungo di quello degli URL, perché ci sono alcuni exploit di borsa ampiamente utilizzati che vengono distribuiti più e più volte su migliaia di URL. Questo metodo non è d'aiuto contro gli exploit zero-day e potrebbe essere ingannato da exploit auto-scritti per vulnerabilità note o l'esecuzione di exploit di azioni attraverso un offuscatore.
  3. euristica. Analizzando il codice HTML e eseguendo il contenuto dinamico in una sandbox, possono rilevare comportamenti sospetti e segnalarlo. Proprio come con i normali antivirus, il potenziale di falsi positivi è molto alto.

Si noti che i metodi 2 e 3 non sono infallibili. Il sito Web dannoso potrebbe tentare di rilevare che è stato scaricato dallo scanner dell'URL e di offrire contenuti diversi da quelli che sarebbero serviti a un visitatore abituale.

    
risposta data 11.11.2013 - 15:06
fonte

Leggi altre domande sui tag