ZenovayTools

サブドメイン乗っ取りチェッカー

サブドメインが、割り当てられていない第三者サービス(GitHub Pages、Heroku、Shopify、Azure、AWS S3、Fastlyなど)をポイントしているダングリングCNAMEレコードを持っているかどうかを確認します。攻撃者が悪用する前に、潜在的なサブドメイン乗っ取り脆弱性を検出します。

サブドメイン乗っ取りチェッカーの使い方

  1. 1チェックするサブドメインを入力します(例:blog.example.com)。
  2. 2CNAMEレコードが解決され、最終的なターゲットサービスが検出されます。
  3. 3ターゲットは既知の乗っ取り脆弱性サービスシグネチャに対して確認されます。
  4. 4脆弱性ステータスと推奨される修復方法が表示されます。
Zenovayアナリティクス

クッキーバナーのいらないアナリティクス。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

サブドメインテイクオーバーとは何ですか?
サブドメインテイクオーバーは、サブドメインのCNAMEレコードが不要求または未構成のサードパーティサービスを指すときに発生します。攻撃者は放棄されたサービス(例:GitHub Pages repo、Heroku app、またはAWS S3バケット)を登録して、サブドメインからコンテンツを提供できます。これは、フィッシング攻撃、Cookie盗用、またはContent Security Policyをバイパスして、悪意のあるコンテンツをドメインから発信されているように見せるために使用できます。
どのサービスが最も一般的にターゲットされていますか?
一般的なサブドメインテイクオーバーターゲットには:GitHub Pages(最も一般的)、Heroku apps、AWS S3バケット、Azure App Service、Shopify stores、Zendesk help centers、Tumblrブログ、Fastly CDNオリジン、UserVoiceフィードバックポータル、Surge.shサイト、Netlifyサイト、Bitbucket Pages、ReadTheDocs documentationが含まれます。これらのサービスがDNSを更新せずに削除される場合、CNAMEレコードは「ダングリング」となり、悪用可能になります。
ダングリングCNAMEをどのように修正しますか?
オプション1(推奨):サービスが不要な場合は、サブドメインのDNS CNAMEレコードを削除してください。オプション2:サードパーティプラットフォームで放棄されたリソースを再取得してください(例:新しいGitHub Pages repoを作成、Heroku appを再登録)。DNSレコードの削除がより安全で高速です。また、他のすべてのサブドメインで同じようなダングリングCNAMEがないかを監査してください。SubjackやNuclei、または継続的なDNS監視ツールを使用してください。
サブドメインテイクオーバーをどのように防ぐことができますか?
すべてのDNSレコードとそれが指すサービスのインベントリを保持してください。サービスを廃止する場合、常に前にまたはすぐ後にDNS CNAMEレコードを削除してください。変更を警告するDNS監視サービスを使用してください。CI/CDパイプラインでダングリングDNS検出ツールの使用を検討してください。重要なサブドメインの場合、DNS CAAレコードとHSTSプリロードを使用して、発行できる証明書を制限してください。
このツールは一度にすべてのサブドメインをチェックできますか?
このツールは一度に1つのサブドメインをチェックします。すべてのサブドメインの一括スキャンの場合、subjack、nuclei(テイクオーバーテンプレート付き)、またはdnstakeなどのセキュリティツールを使用してください。まず、certificate transparencyログを使用してすべてのサブドメインを列挙してください(Subdomain Finderツール経由)、その後、テイクオーバーチェッカーを通じて各をスキャンしてください。セキュリティパイプラインでこれを自動化して、インフラストラクチャが進化するにつれて新しいダングリングレコードをキャッチしてください。