使用Domain-Protect保護(hù)你的網(wǎng)站抵御子域名接管攻擊

image.png

關(guān)于Domain-Protect

Domain-Protect是一款功能強(qiáng)大的子域名安全保護(hù)工具贫奠,可以幫助廣大研究人員更好地保護(hù)自己的網(wǎng)站抵御子域名接管攻擊铐维。該工具支持實(shí)現(xiàn)以下兩個(gè)目標(biāo):

  • 掃描一個(gè)AWS組織中的Amazon Route53宙彪,并獲取存在安全問(wèn)題的域名記錄,然后嘗試執(zhí)行域名接管檢測(cè);
  • 可以通過(guò)Domain Protect for GCP檢測(cè)Google Cloud DNS中存在安全問(wèn)題的域名鸿吆;

子域名檢測(cè)功能

掃描Amazon Route53以識(shí)別:

  • 缺少S3源的CloudFront發(fā)行版的ALIAS記錄;
  • 缺少S3源的CloudFront發(fā)行版的CNAME記錄述呐;
  • 存在接管漏洞的ElasticBeanstalk的ALIAS記錄惩淳;
  • 缺少托管區(qū)域的已注冊(cè)域名;
  • 易被接管的子域名乓搬;
  • 易被接管的S3ALIAS記錄思犁;
  • 易被接管的S3CNAME記錄代虾;
  • Azure資源中存在安全問(wèn)題的CNAME記錄;
  • 缺少Google云存儲(chǔ)Bucket的CNAME記錄激蹲;

【點(diǎn)擊查看網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】如下

  1. 2000多本網(wǎng)絡(luò)安全系列電子書(shū)
  2. 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫(kù)資料
  3. 項(xiàng)目源碼
  4. 網(wǎng)絡(luò)安全基礎(chǔ)入門(mén)褐着、Linux、web安全托呕、攻防方面的視頻
  5. 網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

這些額外的檢測(cè)功能默認(rèn)是關(guān)閉的含蓉,因?yàn)榭赡茉趻呙璐笮徒M織時(shí)會(huì)導(dǎo)致Lambda超時(shí),比如說(shuō)掃描缺少Google云存儲(chǔ)Bucket的A記錄项郊。如需啟用馅扣,請(qǐng)?jiān)谀愕膖fvars文件或CI/CD管道中 創(chuàng)建下列Terraform變量:

lambdas = ["alias-cloudfront-s3", "alias-eb", "alias-s3", "cname-cloudfront-s3", "cname-eb", "cname-s3", "ns-domain", "ns-subdomain", "cname-azure", "cname-google", "a-storage"]

通知

  • 針對(duì)掃描到的每種漏洞類型通過(guò)Slack通知 ,枚舉出賬號(hào)名稱和漏洞域名着降;
  • 訂閱SNS主題差油,發(fā)送JSON格式的電子郵件通知,其中包含帳戶名任洞、帳戶ID和存在安全問(wèn)題的域名蓄喇;

工具要求

  • 需要AWS組織內(nèi)的安全審計(jì)賬號(hào);
  • 在組織中的每個(gè)AWS帳戶都具有相同名稱的安全審核只讀角色交掏;
  • 針對(duì)Terraform狀態(tài)文件的Storage Bucket妆偏;
  • Terraform 1.0.x;

工具源碼獲取

廣大研究人員可以通過(guò)下列命令將該項(xiàng)目源碼克隆至本地:

git clone https://github.com/ovotech/domain-protect.git

工具使用

  • 以下列命令形式替換Terraform狀態(tài)S3 Bucket字段(TERRAFORM_STATE_BUCKET)盅弛;
  • 針對(duì)本地測(cè)試钱骂,拷貝項(xiàng)目中的tfvars.example,重命名并去掉.example后綴挪鹏;
  • 輸入你組織相關(guān)的詳情信息见秽;
  • 在你的CI/CD管道中輸出Terraform變量;

AWS IAM策略

針對(duì)最小特權(quán)訪問(wèn)控制讨盒,項(xiàng)目提供了AWS IAM策略樣例:

  • domain-protect audit policy
  • domain-protect audit trust relationship
  • domain-protect audit trust relationship with External ID
  • domain-protect deploy policy

工具使用截圖

部署至安全審計(jì)賬號(hào)

在這里插入圖片描述

掃描整個(gè)AWS組織

在這里插入圖片描述

通過(guò)Slack或電子郵件接收提醒消息

在這里插入圖片描述

通過(guò)筆記本電腦手動(dòng)執(zhí)行掃描任務(wù)

在這里插入圖片描述

學(xué)習(xí)資料

→點(diǎn)擊查看←

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末解取,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子返顺,更是在濱河造成了極大的恐慌禀苦,老刑警劉巖,帶你破解...
    沈念sama閱讀 218,036評(píng)論 6 506
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件创南,死亡現(xiàn)場(chǎng)離奇詭異伦忠,居然都是意外死亡省核,警方通過(guò)查閱死者的電腦和手機(jī)稿辙,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,046評(píng)論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén),熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)气忠,“玉大人邻储,你說(shuō)我怎么就攤上這事赋咽。” “怎么了吨娜?”我有些...
    開(kāi)封第一講書(shū)人閱讀 164,411評(píng)論 0 354
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵脓匿,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我宦赠,道長(zhǎng)陪毡,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,622評(píng)論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任勾扭,我火速辦了婚禮毡琉,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘妙色。我一直安慰自己桅滋,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,661評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布身辨。 她就那樣靜靜地躺著丐谋,像睡著了一般。 火紅的嫁衣襯著肌膚如雪煌珊。 梳的紋絲不亂的頭發(fā)上号俐,一...
    開(kāi)封第一講書(shū)人閱讀 51,521評(píng)論 1 304
  • 城市分裂傳說(shuō)
    那天,我揣著相機(jī)與錄音定庵,去河邊找鬼萧落。 笑死,一個(gè)胖子當(dāng)著我的面吹牛洗贰,可吹牛的內(nèi)容都是我干的找岖。 我是一名探鬼主播,決...
    沈念sama閱讀 40,288評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼敛滋,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼许布!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起绎晃,我...
    開(kāi)封第一講書(shū)人閱讀 39,200評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤蜜唾,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后庶艾,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體袁余,經(jīng)...
    沈念sama閱讀 45,644評(píng)論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,837評(píng)論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年咱揍,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了颖榜。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,953評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖掩完,靈堂內(nèi)的尸體忽然破棺而出噪漾,到底是詐尸還是另有隱情,我是刑警寧澤且蓬,帶...
    沈念sama閱讀 35,673評(píng)論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布欣硼,位于F島的核電站,受9級(jí)特大地震影響恶阴,放射性物質(zhì)發(fā)生泄漏诈胜。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,281評(píng)論 3 329
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一冯事、第九天 我趴在偏房一處隱蔽的房頂上張望耘斩。 院中可真熱鬧,春花似錦桅咆、人聲如沸括授。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,889評(píng)論 0 22
  • 一樁弒父案岩饼,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)荚虚。三九已至,卻和暖如春籍茧,著一層夾襖步出監(jiān)牢的瞬間版述,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,011評(píng)論 1 269
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工寞冯, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留渴析,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 48,119評(píng)論 3 370
  • 代替公主和親
    正文 我出身青樓吮龄,卻偏偏與公主長(zhǎng)得像俭茧,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子漓帚,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,901評(píng)論 2 355

推薦閱讀更多精彩內(nèi)容