子域名接管（Subdomain Takeover）漏洞与防护 描述 ： 子域名接管是一种安全漏洞，攻击者通过控制某个不再被主应用使用的子域名（例如 blog.example.com ），将其指向攻击者控制的服务器或云服务（如AWS S3、Azure、GitHub Pages等），从而可能窃取用户数据、发起钓鱼攻击、分发恶意软件，或滥用主域名的信誉进行其他恶意活动。该漏洞通常发生在子域名的DNS记录（如CNAME记录）指向了外部服务，但该外部服务被释放或配置错误时。 解题过程循序渐进讲解 ： 步骤1：理解漏洞产生的前提条件 主域名（如 example.com ）的管理员为其子域名（如 dev.example.com ）在DNS中添加了一条CNAME记录，指向一个第三方云服务（如 myapp.azurewebsites.net ）。 后来，主域名不再使用该子域名，但DNS中的CNAME记录未被删除。 攻击者发现这个CNAME记录指向的云服务资源（如Azure Web App、AWS S3存储桶）已被释放或未配置，于是攻击者去该云服务提供商处注册相同的资源名（如 myapp.azurewebsites.net ），从而获得了对该子域名的控制权。 步骤2：漏洞利用的典型场景 假设一个公司曾使用 blog.example.com 指向GitHub Pages页面（CNAME记录指向 company.github.io ）。后来公司停止使用该博客，但忘记删除DNS中的CNAME记录。攻击者可以在GitHub上创建一个名为 company 的账户，并设置GitHub Pages页面，从而接管 blog.example.com 。当用户访问该子域名时，流量会被定向到攻击者的页面。 步骤3：攻击步骤分解 侦察阶段 ：攻击者通过公开数据（如证书透明度日志、DNS记录查询、搜索引擎）收集目标的子域名列表。 识别漏洞 ：对每个子域名，检查其DNS记录（特别是CNAME记录）。如果发现CNAME指向第三方服务（如 *.cloudfront.net 、 *.s3.amazonaws.com ），则尝试访问该服务端点，观察是否返回“未找到”或类似错误。 验证可利用性 ：攻击者尝试在对应的云服务中注册相同的资源名。例如，如果CNAME指向 unused-bucket.s3.amazonaws.com ，攻击者可在AWS S3中创建同名存储桶。 接管子域名 ：一旦注册成功，攻击者便控制该子域名的内容。此时可托管恶意网站、窃取Cookie（如果子域名在父域作用域内）、或发起进一步攻击。 步骤4：潜在危害分析 钓鱼攻击 ：冒充合法子域名欺骗用户输入凭据。 会话劫持 ：如果子域名在相同的域作用域（如 .example.com ），可设置Cookie并影响主域。 恶意软件分发 ：托管恶意脚本或软件。 SEO垃圾邮件 ：滥用域名信誉。 绕过安全机制 ：如CSP（内容安全策略）中允许的该子域名。 步骤5：防护与缓解措施 定期清理DNS记录 ：删除不再使用的子域名DNS记录（特别是CNAME记录）。 监控子域名状态 ：使用自动化工具（如SubDomainer、OWASP Amass）持续扫描子域名，检查是否指向未配置的第三方服务。 云资源释放时同步清理DNS ：在释放云服务（如S3存储桶、Azure Web App）前，确保先删除对应的DNS记录。 使用DNS提供商的告警功能 ：设置当子域名解析到异常IP时的告警。 实施子域名权限管理 ：确保只有授权人员可修改DNS记录，并审计变更日志。 使用CAA记录 ：限制可颁发子域名证书的CA，减少攻击者获取合法证书的风险。 安全教育 ：开发与运维团队需了解子域名接管风险，并在下架服务时执行清理流程。 步骤6：漏洞响应流程 一旦发现子域名被接管，立即： 删除或修改被接管的DNS记录。 通知用户潜在风险。 审查日志，检测是否有数据泄露。 向相关云服务提供商报告恶意资源。 通过以上步骤，你可以全面理解子域名接管漏洞的成因、利用方式及防护方法，从而在开发与运维中避免此类风险。