子域名接管
<h2 id="前言">前言</h2><p>What is <strong>Subdomain Takeover</strong>?</p>
<h2 id="流程">流程</h2>
<p><img src="https://img2018.cnblogs.com/blog/1619145/202001/1619145-20200107094013425-599575048.png" alt="" loading="lazy"></p>
<ul>
<li>
<p>前提:(什么情况下存在子域名接管)<br>
已知 目标url <code>unixcs.com</code> 通过CNAME解析绑定了 <code>a.github.com</code><br>
后因未知原因 <code>a.github.com</code>弃用被删除,<strong>但 CNAME 记录未被修改</strong></p>
</li>
<li>
<p>接管<br>
这时候攻击者可以通过注册a.github.com 去接管unixcs.com这个域名<br>
接管后再次访问 unixcs.com 将会跳转到攻击者精心构造的 网站b</p>
</li>
</ul>
<h2 id="危害">危害</h2>
<h3 id="cookie窃取">Cookie窃取</h3>
<ul>
<li>流程: 未对cookie做限制的情况下,Cookie可以实现跨子域共享<br>
比如:<code>a.com</code>的cookie 可以在 <code>*.a.com</code>上被获取,这时候当 <code>x.a.com</code> 被我们接管后,<br>
在用户已登录(a.com)的状态下,让用户访问<code>x.a.com</code>这时候我们就可以获取用户(a.com)的cookie</li>
<li>案例:https://hackerone.com/reports/172137</li>
</ul>
<h3 id="网络钓鱼">网络钓鱼</h3>
<h3 id="cors跨域资源共享">CORS跨域资源共享</h3>
<h3 id="oauth-授权白名单化">Oauth 授权白名单化</h3>
<h3 id="点击劫持">点击劫持</h3>
<h2 id="发现">发现</h2>
<ul>
<li>nslookup</li>
<li>dig</li>
<li>host</li>
<li>dnsdump</li>
</ul>
<h2 id="漏洞上报">漏洞上报</h2>
<p>上报子域名劫持漏洞的注意事项</p>
<ol>
<li>请确保在你可劫持控制的子城名上部署了属于你自己的Web内容:</li>
<li>部署的Web内容尽量简单干净,最好是句话之类的标志, 连图片都不要放:</li>
<li>最佳方法就是在你部署的Web内容HTML文件注释中包含了某个隐秘消息即可,在与厂商联系协调时,这就足以证明漏洞问题;如果厂商给你授权,为了说明整体的威胁影响,你可以进步对这种子域名劫持漏洞做出测试;</li>
</ol>
<p>参考:<br>
https://www.jianshu.com/p/c7f6c7f04105<br>
https://www.secpulse.com/archives/94973.html<br>
https://www.freebuf.com/articles/web/183254.html</p>
<p>https://github.com/EdOverflow/can-i-take-over-xyz?tdsourcetag=s_pctim_aiomsg</p><br><br>
来源:https://www.cnblogs.com/unixcs/p/12157754.html
頁:
[1]