Начало > ICN.Bg Блог > Friendly Geeks съвети > Защо забравените поддомейни увеличават риска от атаки

Защо забравените поддомейни увеличават риска от атаки

Защо забравените поддомейни увеличават риска от атаки

В зависимост от целите на вашия проект, можете да създадете поддомейни, за да организирате нова промоция или да представите конкретен продукт. Използването на поддомейни се превърна в обичайна практика за собствениците на уеб сайтове. Често срещана грешка е, че след известно време, уеб администраторите забравят за създадените поддомейни и така хакерите могат да злоупотребят и да атакуват сайта. Много компании създават поддомейни, за да използват услуги като отдалечено хоствани Helpdesk системи и други , но след това забравят да ги деактивират.

В резултат на това хакерите могат да отварят акаунти със същите услуги и да създадат правдоподобни фишинг страници. Това е възможно, защото онлайн услугите често не проверяват собствеността на поддомейните. Проблемите, произтичащи от старите DNS записи не се ограничават само до злоупотребите през акаунти от third-party services. Компаниите често създават поддомейн под своя основен и го насочват към друг уеб сайт, например създаден единствено за конкурс или събитие. След приключване на целта, по-късно този уеб сайт е свален и поддомейна е оставен да изгуби валидност, но DNS записите на поддомейните остават.

Всеки атакуващ може да се възползва от такава ситуация чрез регистриране на изтекъл домейн и създаване на фишинг страница, която да имитира главния сайт на компанията. Страницата може да бъде достъпна през забравения поддомейн и да изпраща спам на потребителите. През 2013 г. Szymon Gruszecki – независим изследовател по сигурността сканира 5000 домейна с най-голям трафик и откри 49 поддомейна, които са имали CNAME (Canonical Name) ,DNS запис, сочещ към домейн, който вече не е регистриран. Опасността е по-голяма от обикновения фишинг, ако вашия поддомейн няма свой собствен МХ (mail exchanger) конфигуриран запис и използва един и същ имейл сървър като домейн, определен в CNAME записа.

Пример: Ако поддомейна something.example.com е уязвим, атакуващия може да използва имейл адреси като webmaster@something.example.com или postmaster@something.example.com, за да докаже собствеността си върху съответния поддомейн и да регистрира валиден SSL сертификат. Нападателят ще може да създаде HTTPS (HTTP Secure) сайт на поддомейн something.example.com и да надхитри потребителите на example.com да го посетят, за да открадне техните authentication cookies. Authentication cookies са уникални идентификатори, че уебсайтовете съхраняват в браузърите проследяване на регистрираните потребители, след като са влезли. Ако чрез прихващане на трафика между браузъра на потребителя и уеб сайта се открадне authentication cookies, те могат да бъдат поставени под друг браузър и да се получи достъп до акаунта, който кореспондира.

С цел предотвратяване на cookie кражба, уебмастъри използват SSL за криптиране трафика между потребителите на браузърите и техните уеб сайтове и задават “Secure” за cookies, така че само да се предават по HTTPS връзки. Много сайтове поставят cookies да бъдат валидни не само за основния домейн, но и за всички поддомейни. Ето защо след като влезете във вашия Google или Microsoft акаунт ще бъдете логнати във всички услуги на компанията, въпреки че различните услуги използват различни поддомейни. В допълнение към DNS записите на ресурси, сочещи към изтекъл домейн, Gruszecki открива случаи, когато записите са били грешно написани, вместо www.example.com, администратора изписва wwwexample.com. В този случай атакуващия може да регистрира wwwexample.com.

Не забравяйте поддомейните, които сте създали! Ако не използвате някой от тях по-добре ги премахнете. Нашите Friendly Geeks колеги са на разположение 24/7 за вашите въпроси.

Етикети: #sigurnost #cookies #ataka #imejl-sarvar #http-secure #mail-exchanger #cname #poddomejni #fishing #sertifikat #authentication-cookies #icn-bg #dns-zapis #sss-kriptirane #validen-ssl #https #ssl #domejn