Come allungare gli URL tinyurlizzati (senza visualizzare la pagina)

TinyURL è un servizio che permette di “accorciare” URL lunghi e illeggibili dandogli una rappresentazione più umana. E’ lo strumento utilizzato da Twitter per accorciare gli indirizzi e renderne le dimensioni accettabili anche per una piattaforma di micro-blogging.Il problema è che a priori non sappiamo dove porta un URL tinyurlizzato: non c’e’ nessun modo di sapere che http://tinyurl.com/6f5tus condurrà a https://www.pillolhacking.net, lo scopriremo solo cliccando.

E invece un modo c’è; ci basta Netcat e un editor di testi. Vediamo come fare.

Per prima cosa cerchiamo di capire come funziona TinyURL:

In fase di memorizzazione:

  1. Prende l’URL in input
  2. Calcola un hash
  3. Memorizza l’hash e l’indirizzo completo

In fase di interrogazione:

  1. Effettua un lookup con l’hash come indice
  2. Ottiene l’URL originale e lo restituisce al browser

Per ottenere l’URL originale senza scaricare l’intera pagina bisogna interrogare il servizio tramite HEAD HTTP e intercettare la risposta che conterrà l’indirizzo reale.

Interrogare il servizio è facile. Creo un file di testo denominato header.txt con il seguente contenuto:

HEAD /6f5tus HTTP/1.0
Host: tinyurl.com

Quindi lancio Netcat con i seguenti parametri:

nc tinyurl.com 80 -vv < head.txt

Il risultato è il seguente:

DNS fwd/rev mismatch: tinyurl.com != a.tinyurl.com
DNS fwd/rev mismatch: tinyurl.com != b.tinyurl.com
tinyurl.com [195.66.135.131] 80 (http) open
HTTP/1.0 301 Moved Permanently
Connection: close
X-Powered-By: PHP/5.2.6
Location: https://www.pillolhacking.net
...

Le righe interessanti sono la quarta (HTTP/1.0 301 Moved Permanently) che indica che la connessione è stata re-direzionata su un’altro indirizzo; e la settima (Location: https://www.pillolhacking.net), che svela l’indirizzo effettivo della risorsa tinyurlizzata.
E il gioco è fatto 😉

Posted in Senza categoria
Bookmark the permalink.
3 comments to “Come allungare gli URL tinyurlizzati (senza visualizzare la pagina)”
  1. L’utilità? Non ci avevo penaato 😉 Potrebbe essere implementato in un’estensione Firefox, che potrebbe svelare il vero URL muovendo il puntatore sull’indirizzo…

Comments are closed.