如何使用Domain-Protect保护你的网站抵御子域名接管攻击
发布时间:2025-04-29 点击:15
关于domain-protectdomain-protect是一款功能强大的子域名安全保护工具,可以帮助广大研究人员更好地保护自己的网站抵御子域名接管攻击。该工具支持实现以下两个目标:
扫描一个aws组织中的amazon route53,并获取存在安全问题的域名记录,然后尝试执行域名接管检测; 可以通过domain protect for gcp检测google cloud dns中存在安全问题的域名; 子域名检测功能扫描amazon route53以识别:
缺少s3源的cloudfront发行版的alias记录; 缺少s3源的cloudfront发行版的cname记录; 存在接管漏洞的elasticbeanstalk的alias记录; 缺少托管区域的已注册域名; 易被接管的子域名; 易被接管的s3alias记录; 易被接管的s3cname记录; azure资源中存在安全问题的cname记录; 缺少google云存储bucket的cname记录; 可选的额外检测这些额外的检测功能默认是关闭的,因为可能在扫描大型组织时会导致lambda超时,比如说扫描缺少google云存储bucket的a记录。如需启用,请在你的tfvars文件或ci/cd管道中 创建下列terraform变量:
lambdas = ["alias-cloudfront-s3", "alias-eb", "alias-s3", "cname-cloudfront-s3", "cname-eb", "cname-s3", "ns-domain", "ns-subdomain", "cname-azure", "cname-google", "a-storage"] 通知 针对扫描到的每种漏洞类型通过slack通知 ,枚举出账号名称和漏洞域名; 订阅sns主题,发送json格式的电子邮件通知,其中包含帐户名、帐户id和存在安全问题的域名; 工具要求 需要aws组织内的安全审计账号; 在组织中的每个aws帐户都具有相同名称的安全审核只读角色; 针对terraform状态文件的storage bucket; terraform 1.0.x; 工具源码获取广大研究人员可以通过下列命令将该项目源码克隆至本地:
git clone https://github.com/ovotech/domain-protect.git 工具使用 以下列命令形式替换terraform状态s3 bucket字段(terraform_state_bucket); 针对本地测试,拷贝项目中的tfvars.example,重命名并去掉.example后缀; 输入你组织相关的详情信息; 在你的ci/cd管道中输出terraform变量; aws iam策略针对最小特权访问控制,项目提供了aws iam策略样例:
domain-protect audit policy domain-protect audit trust relationship domain-protect audit trust relationship with external id domain-protect deploy policy 工具使用截图部署至安全审计账号:
扫描整个aws组织:
通过slack或电子邮件接收提醒消息:
通过笔记本电脑手动执行扫描任务:
项目地址domain-protect:【github传送门】
原文地址:https://www.freebuf.com/articles/network/305559.html
杭州到衡东物流专线
西安到沧州物流专线
武汉到江阴物流专线
北京到新泰物流专线
苏州到涟源物流专线
重庆到三沙物流专线
云计算下半场:生态、人工智能与出海
响应式网站有什么优势?(什么是响应式网站?)
扫描一个aws组织中的amazon route53,并获取存在安全问题的域名记录,然后尝试执行域名接管检测; 可以通过domain protect for gcp检测google cloud dns中存在安全问题的域名; 子域名检测功能扫描amazon route53以识别:
缺少s3源的cloudfront发行版的alias记录; 缺少s3源的cloudfront发行版的cname记录; 存在接管漏洞的elasticbeanstalk的alias记录; 缺少托管区域的已注册域名; 易被接管的子域名; 易被接管的s3alias记录; 易被接管的s3cname记录; azure资源中存在安全问题的cname记录; 缺少google云存储bucket的cname记录; 可选的额外检测这些额外的检测功能默认是关闭的,因为可能在扫描大型组织时会导致lambda超时,比如说扫描缺少google云存储bucket的a记录。如需启用,请在你的tfvars文件或ci/cd管道中 创建下列terraform变量:
lambdas = ["alias-cloudfront-s3", "alias-eb", "alias-s3", "cname-cloudfront-s3", "cname-eb", "cname-s3", "ns-domain", "ns-subdomain", "cname-azure", "cname-google", "a-storage"] 通知 针对扫描到的每种漏洞类型通过slack通知 ,枚举出账号名称和漏洞域名; 订阅sns主题,发送json格式的电子邮件通知,其中包含帐户名、帐户id和存在安全问题的域名; 工具要求 需要aws组织内的安全审计账号; 在组织中的每个aws帐户都具有相同名称的安全审核只读角色; 针对terraform状态文件的storage bucket; terraform 1.0.x; 工具源码获取广大研究人员可以通过下列命令将该项目源码克隆至本地:
git clone https://github.com/ovotech/domain-protect.git 工具使用 以下列命令形式替换terraform状态s3 bucket字段(terraform_state_bucket); 针对本地测试,拷贝项目中的tfvars.example,重命名并去掉.example后缀; 输入你组织相关的详情信息; 在你的ci/cd管道中输出terraform变量; aws iam策略针对最小特权访问控制,项目提供了aws iam策略样例:
domain-protect audit policy domain-protect audit trust relationship domain-protect audit trust relationship with external id domain-protect deploy policy 工具使用截图部署至安全审计账号:
扫描整个aws组织:
通过slack或电子邮件接收提醒消息:
通过笔记本电脑手动执行扫描任务:
项目地址domain-protect:【github传送门】
原文地址:https://www.freebuf.com/articles/network/305559.html
杭州到衡东物流专线
西安到沧州物流专线
武汉到江阴物流专线
北京到新泰物流专线
苏州到涟源物流专线
重庆到三沙物流专线
云计算下半场:生态、人工智能与出海
响应式网站有什么优势?(什么是响应式网站?)
上一篇:嘉兴到锡林郭勒盟物流专线
下一篇:石家庄到深圳物流专线