Защо забравените поддомейни увеличават риска от атаки

Защо забравените поддомейни увеличават риска от атаки

В зависимост от целите на вашия проект, можете да създадете поддомейни, за да организирате нова промоция или да представите конкретен продукт. Използването на поддомейни се превърна в обичайна практика за собствениците на уеб сайтове. Нашите Friendly Geeks колеги обясняват как да създадете поддомейн през cPanel? Често срещана грешка е, че след известно време, уеб администраторите забравят за създадените поддомейни и така хакерите могат да злоупотребят и да атакуват сайта. Много компании създават поддомейни, за да използват услуги като отдалечено хоствани Helpdesk системи и код рипозиторита, но след това забравят да ги деактивират.

В резултат на това хакерите могат да отварят акаунти със същите услуги и да създадат правдоподобни фишинг страници. Това е възможно, защото онлайн услугите често не проверяват собствеността на поддомейните. Проблемите, произтичащи от старите DNS записи не се ограничават само до злоупотребите през акаунти от third-party services. Компаниите често създават поддомейн под своя основен и го насочват към друг уеб сайт, например създаден единствено за конкурс или събитие. След приключване на целта, по-късно този уеб сайт е свален и поддомейна е оставен да изгуби валидност, но DNS записите на поддомейните остават.

Всеки атакуващ може да се възползва от такава ситуация чрез регистриране на изтекъл домейн и създаване на фишинг страница, която да имитира главния сайт на компанията. Страницата може да бъде достъпна през забравения поддомейн и да изпраща спам на потребителите. През 2013 г. Szymon Gruszecki – независим изследовател по сигурността сканира 5000 домейна с най-голям трафик и откри 49 поддомейна, които са имали CNAME (Canonical Name) DNS запис, сочещ към домейн, който вече не е регистриран. Опасността е по-голяма от обикновения фишинг, ако вашия поддомейн няма свой собствен МХ (mail exchanger) конфигуриран запис и използва един и същ имейл сървър като домейн, определен в CNAME записа.

Пример: Ако поддомейна something.example.com е уязвим, атакуващия може да използва имейл адреси като webmaster@something.example.com или postmaster@something.example.com, за да докаже собствеността си върху съответния поддомейн и да регистрира валиден SSL сертификат. Нападателят ще може да създаде HTTPS (HTTP Secure) сайт на поддомейн something.example.com и да надхитри потребителите на example.com да го посетят, за да открадне техните authentication cookies. Authentication cookies са уникални идентификатори, че уебсайтовете съхраняват в браузърите проследяване на регистрираните потребители, след като са влезли. Ако чрез прихващане на трафика между браузъра на потребителя и уеб сайта се открадне authentication cookies, те могат да бъдат поставени под друг браузър и да се получи достъп до акаунта, който кореспондира.

С цел предотвратяване на cookie кражба, уебмастъри използват SSL за криптиране трафика между потребителите на браузърите и техните уеб сайтове и задават “Secure” за cookies, така че само да се предават по HTTPS връзки. Много сайтове поставят cookies да бъдат валидни не само за основния домейн, но и за всички поддомейни. Ето защо след като влезете във вашия Google или Microsoft акаунт ще бъдете логнати във всички услуги на компанията, въпреки че различните услуги използват различни поддомейни. В допълнение към DNS записите на ресурси, сочещи към изтекъл домейн, Gruszecki открива случаи, когато записите са били грешно написани, вместо www.example.com, администратора изписва wwwexample.com. В този случай атакуващия може да регистрира wwwexample.com.

Не забравяйте поддомейните, които сте създали! Ако не използвате някой от тях по-добре ги премахнете. Нашите Friendly Geeks колеги са на разположение 24/7 за вашите въпроси.

Етикети: #sigurnost #cookies #ataka #imejl-sarvar #http-secure #mail-exchanger #cname #poddomejni #fishing #sertifikat #authentication-cookies #icn-bg #dns-zapis #sss-kriptirane #validen-ssl #https #ssl #domejn