2021-08-12 分類: 網(wǎng)站建設(shè)
域名可以不帶點(diǎn)嗎規(guī)范說:「必須帶點(diǎn),哪怕你是頂級(jí)域名?!?/p>
知友說:「不帶點(diǎn)危害不亞于當(dāng)年的千年蟲?!?/p>
前端說:「除非是本地hosts映射的。」
米農(nóng)說:「那樣的話手里的域名都?xì)Я?。?/p>
看上去大家似乎都確信自己掌握了真相。
我的答案是:的確有不帶點(diǎn)的域名 ,對(duì)于一個(gè)猥瑣流來說沒有比突破常識(shí)更有趣的事了。
在去年的一個(gè)瀏覽器漏洞發(fā)掘過程中,為了擴(kuò)展漏洞的威力,我嘗試找出那些不帶點(diǎn)的域名。過程不細(xì)說了,結(jié)果是:
http://io
http://ac
可以正常訪問,當(dāng)然我們需要先訪問一次后面帶點(diǎn)域名讓DNS緩存 ( ac. )。
注 :國內(nèi)的DNS是無法解析的,原因不詳,測試的話可以用8.8.8.8。
Why
不知道,我只知道這兩 NIC 違規(guī)了?;ヂ?lián)網(wǎng)世界從來不缺奇葩,猥瑣流們都很樂于去發(fā)現(xiàn)他們,大家有這方面困惑歡迎 @ 我。
------------------更新下危害------------------
關(guān)于危害
我不想說什么局域網(wǎng),search,google 啥的,說點(diǎn)實(shí)際的。IE 有個(gè)特性,主機(jī)名中沒有點(diǎn)( . )的域名自動(dòng)識(shí)別為intranet域 (這是個(gè)黑盒規(guī)則),而intranet 域的站點(diǎn)擁有更多的權(quán)限。
針對(duì)這點(diǎn), 我發(fā)掘了一個(gè) io 域名下的跨站腳本漏洞。之后可以做什么了呢
繞過同源策略跨域獲得任意網(wǎng)站的代碼。
調(diào)用wscript.shell組件執(zhí)行本地命令
前者可以獲取你的web身份,后者可以獲得你的本地權(quán)限 ,危害你自己看著辦。
文章題目:域名可以不帶點(diǎn)嗎這樣會(huì)帶來哪些危害
瀏覽路徑:http://muchs.cn/news10/121810.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站建設(shè)、定制開發(fā)、商城網(wǎng)站、Google、網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容