CN110493224B - 一种子域名劫持漏洞探测方法、装置及设备 - Google Patents
一种子域名劫持漏洞探测方法、装置及设备 Download PDFInfo
- Publication number
- CN110493224B CN110493224B CN201910769432.1A CN201910769432A CN110493224B CN 110493224 B CN110493224 B CN 110493224B CN 201910769432 A CN201910769432 A CN 201910769432A CN 110493224 B CN110493224 B CN 110493224B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- sub
- domain name
- detection
- alias
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种子域名劫持漏洞探测方法,该方法包括以下步骤:获取待探测劫持漏洞的子域名集合;执行别名记录查看命令获取子域名集合中的各个子域名分别对应的别名记录,并利用别名进行劫持漏洞检测获得别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;计算别名检测漏洞集合和web响应检测漏洞集合的交集,并将交集确定为存在劫持漏洞的目标子域名集合。本方法可提高劫持漏洞探测效率。本发明还公开了一种子域名劫持漏洞探测装置、设备及可读存储介质,具有相应的技术效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种子域名劫持漏洞探测方法、装置、设备及可读存储介质。
背景技术
子域名接管(Subdomain Takeover)漏洞即域名劫持漏洞,当受害者访问这个域名时,访问到的是攻击者所提供的内容,或访问不到任何内容。子域名劫持是注册不存在的域名以获得对另一个域的控制权的过程。此过程最常见的情况如下:
1、子域名(例如,sub.example.com)将别名(CNAME)记录用于另一个域(例如,sub.example.com CNAME anotherdomain.com)。
2、在某个时间点,anotherdomain.com到期并可供任何人注册。
3、由于未从example.com DNS区域删除CNAME记录,因此注册anotherdomain.com的任何人都可以完全控制sub.example.com,直到存在DNS记录。
非法分子利用子域名劫持漏洞实现其非法目的,如恶意软件分发、网络钓鱼/鱼叉式网络钓鱼、XSS、身份验证绕过等等。由于某些证书颁发机构仅需要域验证,因此也可以轻松生成SSL证书。
目前对于劫持漏洞检测还停留在人工探测模式与自然发现阶段,而一个网站,往往存在大量的子域名,依靠人工逐个检测,耗费人力和时间,效率较低;当依靠自然发现,同样也不能及时的探测出存在劫持漏洞的子域名,影响用户体验,甚至可能会导致经济、名誉损失。
综上所述,如何有效地解决子域名劫持漏洞探测等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种子域名劫持漏洞探测方法、装置、设备及可读存储介质,以提高子域名劫持漏洞探测效率。
为解决上述技术问题,本发明提供如下技术方案:
一种子域名劫持漏洞探测方法,包括:
获取待探测劫持漏洞的子域名集合;
执行别名记录查看命令获取所述子域名集合中的各个子域名分别对应的别名记录,并利用所述别名进行劫持漏洞检测获得别名检测漏洞集合;
对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;
计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合。
优选地,对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合,包括:
对所述别名检测漏洞集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得所述web响应检测漏洞集合;
相应地,所述计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合,包括:
将所述web响应检测漏洞集合确定为所述目标子域名集合。
优选地,执行别名记录查看命令获取所述子域名集合中的各个子域名分别对应的别名记录,并利用所述别名进行劫持漏洞检测获得别名检测漏洞集合,包括:
执行别名记录查看命令获取所述web响应检测漏洞集合中的各个子域名分别对应的别名记录;
利用所述别名进行劫持漏洞检测获得别名检测漏洞集合;
相应地,所述计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合,包括:
将所述别名检测漏洞集合确定为所述目标子域名集合。
优选地,利用所述别名进行劫持漏洞检测获得别名检测漏洞集合,包括:
判断所述别名记录与劫持漏洞别名特征是否匹配;
如果是,则将所述别名记录对应的目标子域名添加至所述别名检测漏洞集合中。
优选地,对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合,包括:
对所述子域名集合中的各个子域名进行web请求;
接收所述响应包,并判断所述响应包与web响应劫持漏洞特征是否匹配;
如果是,则将所述响应包对应的目标子域名添加至所述web响应检测漏洞集合。
优选地,所述获取待探测劫持漏洞的子域名集合,包括:
利用搜索引擎对目标网站进行搜索,获得所述目标网站对应的所述子域名集合。
优选地,还包括:
对所述目标子域名集合进行漏洞上报。
一种子域名劫持漏洞探测装置,包括:
子域名挖掘模块,用于获取待探测劫持漏洞的子域名集合;
别名漏洞检测模块,用于执行别名记录查看命令获取所述子域名集合中的各个子域名分别对应的别名记录,并利用所述别名进行劫持漏洞检测获得别名检测漏洞集合;
Web响应漏洞检测模块,用于对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;
检测结果获取模块,用于计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合。
一种子域名劫持漏洞探测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述子域名劫持漏洞探测方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述子域名劫持漏洞探测方法的步骤。
应用本发明实施例所提供的方法,获取待探测劫持漏洞的子域名集合;执行别名记录查看命令获取子域名集合中的各个子域名分别对应的别名记录,并利用别名进行劫持漏洞检测获得别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;计算别名检测漏洞集合和web响应检测漏洞集合的交集,并将交集确定为存在劫持漏洞的目标子域名集合。
当子域名存在劫持漏洞时,其对应的别名记录会存在劫持漏洞的相关特征;另外,当子域名存在劫持漏洞时,访问该子域名其响应包中也会存在劫持漏洞的相关特征。基于此,在本方法中获取到子域名集合之后,可利用子域名集合中各个子域名分别对应的别名记录进行劫持漏洞检测,确定出别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,可基于响应包进行劫持漏洞检测,得到web响应检测漏洞集合。考虑到单独基于别名记录检测劫持漏洞,或单独基于web响应进行劫持漏洞检测存在检测结果不准确的问题,为了提高劫持漏洞检测准确率,可取别名记录检测所得的别名检测漏洞集合,与web响应劫持漏洞检测所得的web响应检测漏洞集合的交集作为目标子域名集合,该目标子域名集合即为从待探测的子域名集合中探测得到且存在劫持漏洞的子域名所构成的集合。相较于人工探测,在计算处理设备上执行的本方法,提供别名记录检测和web响应检测,可提高劫持漏洞探测效率。且由于是计算处理设备进行探测,还可有效避免漏检、错捡的情况,能够提高劫持漏洞检测准确率。为进一步解决存在劫持漏洞子域名的问题,可提供准确可靠的劫持漏洞子域名信息。
相应地,本发明实施例还提供了与上述子域名劫持漏洞探测方法相对应的子域名劫持漏洞探测装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种子域名劫持漏洞探测方法的实施流程图;
图2为本发明实施例中一种子域名劫持漏洞探测装置的结构示意图;
图3为本发明实施例中一种子域名劫持漏洞探测设备的结构示意图;
图4为本发明实施例中一种子域名劫持漏洞探测设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参考图1,图1为本发明实施例中一种子域名劫持漏洞探测方法的实施流程图,该方法可应用于计算处理设备中(如计算机,处理芯片),该方法包括以下步骤:
S101、获取待探测劫持漏洞的子域名集合。
可从预先存储的可读存储介质中读取子域名集合,也可通过对网站、网页进行搜索等方式获取到子域名集合。该子域名集合可以为归属于同一个网站的子域名,也可以为不同网站中需要探测劫持漏洞的子域名。
其中,获取的子域名集合,可为利用搜索引擎对目标网站进行搜索,获得目标网站对应的子域名集合。可通过向诸如google,bing等搜索引擎对目标网站进行搜索。例如,通过如下google dork语法:site:*.baidu.com,可以搜索到百度的子域名,然后通过结合多个搜索引擎来挖掘子域名,将挖掘到的子域名保存。
S102、执行别名记录查看命令获取子域名集合中的各个子域名分别对应的别名记录,并利用别名进行劫持漏洞检测获得别名检测漏洞集合。
其中,别名检测漏洞集合即为基于别名记录,对子域名集合中的各个子域名进行劫持漏洞后,所确定出可能存在劫持漏洞的子域名的集合。
通过相应命令来查询子域名集合中的各个子域名的别名记录(cname,也被称为规范名字),可以使用dig等命令来进行查询cname记录。其中,dig为域信息搜索器的简称(Domain Information Groper),使用dig命令可以执行查询域名相关的任务。对于具体如何执行dig命令,以获得cname记录,可具体参见dig的相关定义和实现过程,在此不在一一赘述。
其中,利用别名进行劫持漏洞检测获得别名检测漏洞集合,包括:
步骤一、判断别名记录与劫持漏洞别名特征是否匹配;
步骤二、如果是,则将别名记录对应的目标子域名添加至别名检测漏洞集合中。
显然,当别名记录与劫持漏洞别名特征不匹配时,则无需将对应的目标子域名添加至别名检测漏洞集合中。也就是说,对子域名集合进行别名特征匹配检测,最终获得别名检测漏洞集合,相当于对子域名集合中的子域名进行了筛选,将别名记录符合接触漏洞特征的子域名从子域名集合中筛选出。
其中,劫持漏洞别名特征包括但不限于以下示例特征:
cloudflare.net;cloudfront.net;cloudapp.net;trafficmanager.net;cloudapp.azure.com;s3.amazonaws.com;herokuapp.com;66.6.44.4;github.io;surge.sh;bitbucket.io;ghost.io;desk.com;myjetbrains.com。
即对查询到的cname记录与多个劫持漏洞别名特征进行匹配,假如与匹配到上述劫持漏洞别名特征中的任意的一种劫持漏洞别名特征,则将匹配到特征的子域名添加至别名检测漏洞集合。例如,子域名example.com对应的cname为example.cloudapp.azure.com,通过正则表达式去匹配劫持漏洞别名特征,此时和cloudapp.azure.com这个劫持漏洞别名特征能够匹配,此时可在别名检测漏洞集合中添加example.com这个子域名。
S103、对子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合。
通过检测web请求对应的响应包,可确定出该web请求对应的子域名是否存在劫持漏洞。
其中,web响应检测漏洞集合即为对响应包检测后确定出存在劫持漏洞的子域名的集合。获取web响应检测漏洞集合的具体实现过程可包括:
步骤一、对子域名集合中的各个子域名进行web请求;
步骤二、接收响应包,并判断响应包与web响应劫持漏洞特征是否匹配;
步骤三、如果是,则将响应包对应的目标子域名添加至web响应检测漏洞集合。
显然地,当响应包对应的目标子域名与web响应劫持漏洞特征不匹配时,则无需将目标子域名添加至web响应检测漏洞集合中。
具体的,可对子域名集合中的各个子域名进行web请求。对web请求返回的响应包与web响应劫持漏洞特征进行特征匹配。其中,web响应劫持漏洞特征包括但不限于以下特征:Trying to access your account;Use a personal domain name;The request couldnot be satisfied;Sorry,We Couldn't Find That Page;Fastly error:unknowndomain;The feed has not been found;You can claim it now at;Publishingplatform;There isn't a GitHub Pages site here;No such app;NoSuchBucket;Sorry,this shop is currently unavailable;The requested URL was not found on thisserver;The page you have requested does not exist;Looks like you've traveledtoo far into cyberspace;Help Center Closed|Zendesk。
假如响应包匹配到上述特征中的任意一种特征,则将对应目标子域名添加至web响应检测漏洞集合中,还可保存相对应的返回包,以便进一步确定目标子域名是否存在劫持漏洞。例如,子域名example.com对应的http或者https返回的数据包内容为No suchapp,则其与web响应劫持漏洞特征中的No such app匹配,此时可将子域名example.com添加至web响应检测漏洞集合。
S104、计算别名检测漏洞集合和web响应检测漏洞集合的交集,并将交集确定为存在劫持漏洞的目标子域名集合。
考虑到单独基于别名记录检测劫持漏洞,或单独基于web响应进行劫持漏洞检测存在检测结果不准确的问题,为了提高劫持漏洞检测准确率,可取别名记录检测所得的别名检测漏洞集合,与web响应劫持漏洞检测所得的web响应检测漏洞集合的交集作为目标子域名集合,该目标子域名集合即为从待探测的子域名集合中探测得到且存在劫持漏洞的子域名所构成的集合。
当然,为避免出现存在劫持漏洞的子域名被遗漏,还可计算别名检测漏洞集合和web响应检测漏洞集合的并集,并将并集确定为存在劫持漏洞的目标子域名集合。
优选地,在确定出存在劫持漏洞的目标子域名集合之后,还可以对目标子域名集合进行漏洞上报。即将目标子域名集合输出至可视化界面和传递给其他应用,以便对存在劫持漏洞的子域名进行处理。
需要说明的是,在本发明实施例中,对步骤S102和S103的执行顺序并不做限定,即,在执行步骤S102和S103时,可按照如图1所示的先执行步骤S102,后步骤S103的顺序进行;也可先执行步骤S103后执行步骤S102的顺序进行,还可并行执行步骤S102和步骤S103。
优选地,为了进一步提高探测效率,在执行步骤S102或执行步骤S103时,还可按照以下两种不同的方式进行实施。
方式一:
执行上述步骤S103时,可对别名检测漏洞集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合。
也就是说,在此方式中,利用响应包所进行劫持漏洞检测,相当于对从子域名集合中以别名检测当时筛序出的别名检测漏洞集合,利用响应包进行了进一步检测,所得到的web响应检测漏洞集合,同上文所描述的别名检测漏洞集合和web响应检测漏洞集合的交集。相应地,上述步骤S104,则可适应性调整为:将web响应检测漏洞集合确定为目标子域名集合。
方式二:
在执行上述步骤S102时,可依次执行以下步骤:
步骤一、执行别名记录查看命令获取web响应检测漏洞集合中的各个子域名分别对应的别名记录;
步骤二、利用别名进行劫持漏洞检测获得别名检测漏洞集合。
也就是说,此方式中利用别名进行的劫持漏洞检测,相当于对从子域名集合中以web响应检测时筛序出的web响应检测漏洞集合,利用别名进行了进一步检测,所得到的别名检测漏洞集合,同上文所描述的别名检测漏洞集合和web响应检测漏洞集合的交集。相应地,上述步骤S104,则可适应性调整为:将别名检测漏洞集合确定为目标子域名集合。
应用本发明实施例所提供的方法,获取待探测劫持漏洞的子域名集合;执行别名记录查看命令获取子域名集合中的各个子域名分别对应的别名记录,并利用别名进行劫持漏洞检测获得别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;计算别名检测漏洞集合和web响应检测漏洞集合的交集,并将交集确定为存在劫持漏洞的目标子域名集合。
当子域名存在劫持漏洞时,其对应的别名记录会存在劫持漏洞的相关特征;另外,当子域名存在劫持漏洞时,访问该子域名其响应包中也会存在劫持漏洞的相关特征。基于此,在本方法中获取到子域名集合之后,可利用子域名集合中各个子域名分别对应的别名记录进行劫持漏洞检测,确定出别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,可基于响应包进行劫持漏洞检测,得到web响应检测漏洞集合。考虑到单独基于别名记录检测劫持漏洞,或单独基于web响应进行劫持漏洞检测存在检测结果不准确的问题,为了提高劫持漏洞检测准确率,可取别名记录检测所得的别名检测漏洞集合,与web响应劫持漏洞检测所得的web响应检测漏洞集合的交集作为目标子域名集合,该目标子域名集合即为从待探测的子域名集合中探测得到且存在劫持漏洞的子域名所构成的集合。相较于人工探测,在计算处理设备上执行的本方法,提供别名记录检测和web响应检测,可提高劫持漏洞探测效率。且由于是计算处理设备进行探测,还可有效避免漏检、错捡的情况,能够提高劫持漏洞检测准确率。为进一步解决存在劫持漏洞子域名的问题,可提供准确可靠的劫持漏洞子域名信息。
实施例二:
相应于上面的方法实施例,本发明实施例还提供了一种子域名劫持漏洞探测装置,下文描述的子域名劫持漏洞探测装置与上文描述的子域名劫持漏洞探测方法可相互对应参照。
参见图2所示,该装置包括以下模块:
子域名挖掘模块101,用于获取待探测劫持漏洞的子域名集合;
别名漏洞检测模块102,用于执行别名记录查看命令获取子域名集合中的各个子域名分别对应的别名记录,并利用别名进行劫持漏洞检测获得别名检测漏洞集合;
Web响应漏洞检测模块103,用于对子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;
检测结果获取模块104,用于计算别名检测漏洞集合和web响应检测漏洞集合的交集,并将交集确定为存在劫持漏洞的目标子域名集合。
应用本发明实施例所提供的装置,获取待探测劫持漏洞的子域名集合;执行别名记录查看命令获取子域名集合中的各个子域名分别对应的别名记录,并利用别名进行劫持漏洞检测获得别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;计算别名检测漏洞集合和web响应检测漏洞集合的交集,并将交集确定为存在劫持漏洞的目标子域名集合。
当子域名存在劫持漏洞时,其对应的别名记录会存在劫持漏洞的相关特征;另外,当子域名存在劫持漏洞时,访问该子域名其响应包中也会存在劫持漏洞的相关特征。基于此,在本装置中获取到子域名集合之后,可利用子域名集合中各个子域名分别对应的别名记录进行劫持漏洞检测,确定出别名检测漏洞集合;对子域名集合中的各个子域名进行web请求,可基于响应包进行劫持漏洞检测,得到web响应检测漏洞集合。考虑到单独基于别名记录检测劫持漏洞,或单独基于web响应进行劫持漏洞检测存在检测结果不准确的问题,为了提高劫持漏洞检测准确率,可取别名记录检测所得的别名检测漏洞集合,与web响应劫持漏洞检测所得的web响应检测漏洞集合的交集作为目标子域名集合,该目标子域名集合即为从待探测的子域名集合中探测得到且存在劫持漏洞的子域名所构成的集合。相较于人工探测,在具有本装置的计算处理设备上进行别名记录检测和web响应检测,可提高劫持漏洞探测效率。且由于是计算处理设备进行探测,还可有效避免漏检、错捡的情况,能够提高劫持漏洞检测准确率。为进一步解决存在劫持漏洞子域名的问题,可提供准确可靠的劫持漏洞子域名信息。
在本发明的一种具体实施方式中,Web响应漏洞检测模块103,具体用于对别名检测漏洞集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;
相应地,检测结果获取模块104,具体用于将web响应检测漏洞集合确定为目标子域名集合。
在本发明的一种具体实施方式中,别名漏洞检测模块102,具体用于执行别名记录查看命令获取web响应检测漏洞集合中的各个子域名分别对应的别名记录;利用别名进行劫持漏洞检测获得别名检测漏洞集合;
相应地,检测结果获取模块104,具体用于将别名检测漏洞集合确定为目标子域名集合。
在本发明的一种具体实施方式中,别名漏洞检测模块102,具体用于判断别名记录与劫持漏洞别名特征是否匹配;如果是,则将别名记录对应的目标子域名添加至别名检测漏洞集合中。
在本发明的一种具体实施方式中,Web响应漏洞检测模块103,具体用于对子域名集合中的各个子域名进行web请求;接收响应包,并判断响应包与web响应劫持漏洞特征是否匹配;如果是,则将响应包对应的目标子域名添加至web响应检测漏洞集合。
在本发明的一种具体实施方式中,子域名挖掘模块101,具体用于利用搜索引擎对目标网站进行搜索,获得目标网站对应的子域名集合。
在本发明的一种具体实施方式中,还包括:
漏洞上报模块,用于对目标子域名集合进行漏洞上报。
实施例三:
相应于上面的方法实施例,本发明实施例还提供了一种子域名劫持漏洞探测设备,下文描述的一种子域名劫持漏洞探测设备与上文描述的一种子域名劫持漏洞探测方法可相互对应参照。
参见图3所示,该子域名劫持漏洞探测设备包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例的子域名劫持漏洞探测方法的步骤。
具体的,请参考图4,图4为本实施例提供的一种子域名劫持漏洞探测设备的具体结构示意图,该子域名劫持漏洞探测设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在子域名劫持漏洞探测设备301上执行存储介质330中的一系列指令操作。
子域名劫持漏洞探测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的子域名劫持漏洞探测方法中的步骤可以由子域名劫持漏洞探测设备的结构实现。
实施例四:
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种子域名劫持漏洞探测方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的子域名劫持漏洞探测方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (9)
1.一种子域名劫持漏洞探测方法,其特征在于,包括:
获取待探测劫持漏洞的子域名集合;
执行别名记录查看命令获取所述子域名集合中的各个子域名分别对应的别名记录,并利用所述别名进行劫持漏洞检测获得别名检测漏洞集合;
对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;
计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合;
其中,利用所述别名进行劫持漏洞检测获得别名检测漏洞集合,包括:
判断所述别名记录与劫持漏洞别名特征是否匹配;
如果是,则将所述别名记录对应的目标子域名添加至所述别名检测漏洞集合中。
2.根据权利要求1所述的子域名劫持漏洞探测方法,其特征在于,对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合,包括:
对所述别名检测漏洞集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得所述web响应检测漏洞集合;
相应地,所述计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合,包括:
将所述web响应检测漏洞集合确定为所述目标子域名集合。
3.根据权利要求1所述的子域名劫持漏洞探测方法,其特征在于,执行别名记录查看命令获取所述子域名集合中的各个子域名分别对应的别名记录,并利用所述别名进行劫持漏洞检测获得别名检测漏洞集合,包括:
执行别名记录查看命令获取所述web响应检测漏洞集合中的各个子域名分别对应的别名记录;
利用所述别名进行劫持漏洞检测获得别名检测漏洞集合;
相应地,所述计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合,包括:
将所述别名检测漏洞集合确定为所述目标子域名集合。
4.根据权利要求1所述的子域名劫持漏洞探测方法,其特征在于,对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合,包括:
对所述子域名集合中的各个子域名进行web请求;
接收所述响应包,并判断所述响应包与web响应劫持漏洞特征是否匹配;
如果是,则将所述响应包对应的目标子域名添加至所述web响应检测漏洞集合。
5.根据权利要求1所述的子域名劫持漏洞探测方法,其特征在于,所述获取待探测劫持漏洞的子域名集合,包括:
利用搜索引擎对目标网站进行搜索,获得所述目标网站对应的所述子域名集合。
6.根据权利要求1至5任一项所述的子域名劫持漏洞探测方法,其特征在于,还包括:
对所述目标子域名集合进行漏洞上报。
7.一种子域名劫持漏洞探测装置,其特征在于,包括:
子域名挖掘模块,用于获取待探测劫持漏洞的子域名集合;
别名漏洞检测模块,用于执行别名记录查看命令获取所述子域名集合中的各个子域名分别对应的别名记录,并利用所述别名进行劫持漏洞检测获得别名检测漏洞集合;
Web响应漏洞检测模块,用于对所述子域名集合中的各个子域名进行web请求,并利用响应包进行劫持漏洞检测,获得web响应检测漏洞集合;
检测结果获取模块,用于计算所述别名检测漏洞集合和所述web响应检测漏洞集合的交集,并将所述交集确定为存在劫持漏洞的目标子域名集合;
其中,所述别名漏洞检测模块,具体用于判断所述别名记录与劫持漏洞别名特征是否匹配;如果是,则将所述别名记录对应的目标子域名添加至所述别名检测漏洞集合中。
8.一种子域名劫持漏洞探测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述子域名劫持漏洞探测方法的步骤。
9.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述子域名劫持漏洞探测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910769432.1A CN110493224B (zh) | 2019-08-20 | 2019-08-20 | 一种子域名劫持漏洞探测方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910769432.1A CN110493224B (zh) | 2019-08-20 | 2019-08-20 | 一种子域名劫持漏洞探测方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110493224A CN110493224A (zh) | 2019-11-22 |
CN110493224B true CN110493224B (zh) | 2022-01-07 |
Family
ID=68552290
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910769432.1A Active CN110493224B (zh) | 2019-08-20 | 2019-08-20 | 一种子域名劫持漏洞探测方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493224B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113839938B (zh) * | 2021-09-16 | 2022-07-08 | 武汉绿色网络信息服务有限责任公司 | 一种域名接管漏洞的检测方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104348669A (zh) * | 2013-07-23 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 一种域名劫持探测、系统及装置 |
CN104468860A (zh) * | 2014-12-04 | 2015-03-25 | 北京奇虎科技有限公司 | 域名解析服务器危险性的识别方法和装置 |
CN108243051A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团浙江有限公司 | 域名劫持防护处理方法及装置 |
CN108574742A (zh) * | 2017-03-10 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 域名信息收集方法及域名信息收集装置 |
CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10594728B2 (en) * | 2016-06-29 | 2020-03-17 | AVAST Software s.r.o. | Detection of domain name system hijacking |
-
2019
- 2019-08-20 CN CN201910769432.1A patent/CN110493224B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104348669A (zh) * | 2013-07-23 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 一种域名劫持探测、系统及装置 |
CN104468860A (zh) * | 2014-12-04 | 2015-03-25 | 北京奇虎科技有限公司 | 域名解析服务器危险性的识别方法和装置 |
CN108243051A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团浙江有限公司 | 域名劫持防护处理方法及装置 |
CN108574742A (zh) * | 2017-03-10 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 域名信息收集方法及域名信息收集装置 |
CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
Non-Patent Citations (2)
Title |
---|
《子域名劫持(subdomain takeover)》;CSDN;《CSDN,https://blog.csdn.net/Fly_hps/article/details/82821783》;20180923;1.CNAME解析,2.子域名劫持原理,3.漏洞利用,4.漏洞检测 * |
《看我如何在短时间内对Shopify五万多个子域名进行劫持》;freebuff;《freebuff,https://www.freebuf.com/articles/web/186411.html》;20181018;Shopify的子域名劫持漏洞,网页应用名称映射,DNS映射,大规模测试发现,总结,漏洞上报进程 * |
Also Published As
Publication number | Publication date |
---|---|
CN110493224A (zh) | 2019-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
US11165822B2 (en) | Identifying phishing websites using DOM characteristics | |
CN107465651B (zh) | 网络攻击检测方法及装置 | |
CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
US20170078310A1 (en) | Identifying phishing websites using dom characteristics | |
CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
CN108353083B (zh) | 用于检测域产生算法(dga)恶意软件的系统及方法 | |
EP3557843B1 (en) | Content delivery network (cdn) bot detection using compound feature sets | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
US20160337378A1 (en) | Method and apparatus for detecting security of online shopping environment | |
US20140325596A1 (en) | Authentication of ip source addresses | |
CN108777687B (zh) | 基于用户行为画像的爬虫拦截方法、电子设备、存储介质 | |
US20130269042A1 (en) | Optimizing security seals on web pages | |
US9967269B2 (en) | Method, device and system for processing DNS behavior | |
CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
WO2019123455A1 (en) | System and method for blocking phishing attempts in computer networks | |
CN114003794A (zh) | 资产收集方法、装置、电子设备和介质 | |
CN110493224B (zh) | 一种子域名劫持漏洞探测方法、装置及设备 | |
JPWO2019026172A1 (ja) | セキュリティ診断装置およびセキュリティ診断方法 | |
CN105515882B (zh) | 网站安全检测方法及装置 | |
CN114070632A (zh) | 一种自动化渗透测试方法、装置及电子设备 | |
CN111371917B (zh) | 一种域名检测方法及系统 | |
CN114465816A (zh) | 密码喷洒攻击的检测方法、装置、计算机设备和存储介质 | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
CN113645191A (zh) | 可疑主机的确定方法、装置、设备和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |