子域名托管漏洞

一些网站的一些站长  在编译网站的时候 会引用别的网站域名的资源

这个时候其实是可以把那些过期的域名买下来 然后把买下来的一个网站进行一些编译恶意代码 这样的话 就可以黑掉网站了

这种情况还是非常常见的

顶级域名   简单的来说 就是.com .net .org 这些尾缀就是不同的顶级域名代表的就是不同的企业 像工商性质的就是最常见的.com

顶级域名是域名的最后一个部分，即是域名最后一点之后的字母，例如在example.com这个域名中，顶级域是.com（或.COM），大小写视为相同

主域名  主域名就是  www.baidu.com 里面的baicu.com 就是主域名

子域名  子域名也拿之前那个百度的例子 子域名就是new.baidu.com类似这种

Dns服务器

每一个域名都有一个dns服务器 就是用来 解析翻译这种的

还有一种就是别名指向

别名指向到一个过期的网站

我们把过期的网页买下来 就是可以进行一些恶意操作

现在的一批网商

会提供一些 别名指向的记录 、

例如github

比如说我们已经在dns上修改了

但是没有去github上面进行修改这个 时候黑客就可以在云服务器上上面进行自己解析

从而达到一些控制的效果

有的 时候会调用第三方登录 qq 登录微博 登录调用什么的 在返回驻地那个登录网站返回的时候这个时候就会校验不严格 数据可控的情况下就会造成 通过第三方登录 比如说

我就可以登录任意一个用户 的一个登录漏洞