Benoit Esnard
2018-05-08 16:54:52 UTC
我剛剛讀了一篇有關 bitsquatting(指與流行域名略有不同的域名註冊)的文章,並且我擔心它如何允許攻擊者進行將其自己的資產加載到我的網站上。
例如,如果我位於 https://www.example.org/ 的網站加載了位於 https的腳本文件://www.example.org/script.js ,那麼攻擊者可以註冊 dxample.org 並託管一個惡意JS文件,該文件將由我的某些用戶下載並執行網站。
是否有針對它的標準防禦技術?
搶注似乎更大。而且我不認為doublechick.net流量完全是位錯誤!
我認為您對此無能為力。此外,很難從您所展示的文章中得出結論,因為無法通過調用網頁來了解這些流量是否確實是過時的或只是編程錯誤。
這是理論上的問題,還是您真正關心您的網站?您是否正在運行一個擁有數百萬訪問者的熱門域名?
@Bergi:這是一個理論問題。我已經在擁有數以百萬計的訪問者的網站上工作,但是有比問題解決更大的問題,因為正如一些答案所述,這是非常罕見的事件。:)
如果您關心安全性,為什麼首先要使用http而不是https?
@Acccumulation:這是我的問題的疏忽,因為在創建問題時無法通過HTTPS到達example.org。現在,此問題已解決:該問題假定該站點上的每個資源都已使用HTTPS。感謝您指出!
如果您使用的是HTTPS,則攻擊者要么必須獲得“ example.com”的證書,要么必須獲得“ dxample.com”的證書,並且客戶端不會注意到證書不是“ example”的。com`。我對HTTPS的了解不足,無法確定這是否是可行的攻擊模式。
-1
為什麼不只註冊一個相距不遠的所有域?
這是GitHub的工作:http://guthib.com
@nalzok:好吧,查看WHOIS記錄,這不是GitHub域之一,它更多是錯別字域名而不是位錯字域名。
@Therac盜版是一個問題,使網絡釣魚更有可能成功,並且實質上是主動攻擊。搶注似乎是一種利用DNS解析器中的日常錯誤的技術,並且絕對是一種被動攻擊。由於沒有機會進行交叉檢查和乾預,即使是非常謹慎的用戶也可能成為“ Bitsquated”域的受害者。
如果您擔心冒名頂替者模仿/ MITMing,請執行以下操作:用EV證書提高標準,並清楚地告知用戶他們不應該信任任何沒有站點的站點。
@rackandboneman:,您無法輕鬆查看子資源的關聯證書,因此使用EV證書無濟於事。
我要給你的簡短答案是,如果您真的擔心難以利用的東西,並且這種情況很少發生,例如“蹲位”,那麼您要么有太多時間在手,要么就沒有了解您網站的真正威脅。(您會注意到,此“攻擊”的作者並未提供發生這種情況的頻率的真實數字,而只是揮舞著大數字還是小數字)。換句話說,將精力集中在其他地方。
這甚至多久發生一次?考慮到復雜的現代PC每分鐘數十億次操作,如果“甚至很少”出現誤碼,它就不可能做。他們每天都會崩潰。而且他們沒有。