別のドメインが私のウェブサーバーを指しています
他の誰かが私のウェブサーバーのIPアドレスを指す名前を.maTLDに登録しました。
私のドメインfoo.bar->私のIPアドレス1.2.3.4
誰かが定義した:
suspiciousdomain.ma->私のIPアドレス1.2.3.4
したがって、これは通常のDNSスプーフィングの逆のように見えます。
質問:
これは他の攻撃に対する準備ですか?同様に、人々はsuspiciousdomain.ma Webサイトにログインし、suspiciousdomain.maはしばらくしてIPアドレスを変更し、資格情報を盗むために使用される「中間者」サーバーにトラフィックをリダイレクトしますか?
これを防ぐための最良の方法は何ですか?
Host:ヘッダーでHTTPリクエストをブロックすることを考えていました(つまり、Host: foo.barヘッダーが設定されていないすべてのhttpリクエストを拒否します)。これは効果的でしょうか。つまり、攻撃者がそれを悪用する合理的な方法はありませんか。 (そのヘッダーはブラウザによって設定されていますか?)
攻撃者がDNSを「中間者」サーバーアドレスに切り替えると、結局このコードを削除する可能性があるため、これを防ぐためにJavaScriptコードをページに埋め込むことは効果的である必要はありません。
ServerNameディレクティブを明示的に定義することで、Webサーバーレベルでこれを簡単に防ぐことができます。一致しないホストは、単にデフォルトページ(または選択したもの)に移動します。
is Host:ヘッダーをだますことは可能ですが、これは最も一般的な方法を妨げます。さらに有害なのは、疑わしいドメインがドメイン上のコンテンツを複製し、SEOの評価を損なうことです(検索エンジンは重複するWebサイトを嫌います)。そのため、Apacheの修正でうまくいきます。