卢松松博客

域名为什么必须带点 (.) 及不带点的危害

 人参与 | 时间:2013年08月20日 09:28

规范说:「必须带点,哪怕你是顶级域名。」

知友说:「不带点危害不亚于当年的千年虫。」

前端说:「除非是本地hosts映射的。」

米农说:「那样的话手里的域名都毁了。」

看上去大家似乎都确信自己掌握了真相。

我的答案是:的确有不带点的域名,对于一个猥琐流来说没有比突破常识更有趣的事了。

在去年的一个浏览器漏洞发掘过程中,为了扩展漏洞的威力,我尝试找出那些不带点的域名。过程不细说了,结果是:

http://io

域名为什么必须带点 (.) 及不带点的危害 好文分享 第1张

http://ac

域名为什么必须带点 (.) 及不带点的危害 好文分享 第2张

可以正常访问,当然我们需要先访问一次后面带点域名让DNS缓存( ac. )。

注 :国内的DNS是无法解析的,原因不详,测试的话可以用8.8.8.8。

Why?

不知道,我只知道这两 NIC 违规了。互联网世界从来不缺奇葩,猥琐流们都很乐于去发现他们,大家有这方面困惑欢迎 @ 我。

关于危害

我不想说什么局域网,search,google 啥的,说点实际的。IE 有个特性,主机名中没有点( . )的域名自动识别为intranet域 (这是个黑盒规则),而intranet 域的站点拥有更多的权限。

域名为什么必须带点 (.) 及不带点的危害 好文分享 第3张

针对这点, 我发掘了一个 io 域名下的跨站脚本漏洞。之后可以做什么了呢?

绕过同源策略跨域获得任意网站的代码。

调用wscript.shell组件执行本地命令

前者可以获取你的web身份,后者可以获得你的本地权限,危害你自己看着办。

文章来源:知乎

相关链接:好域名注册地址

顶: 0踩: 0

来源:,欢迎分享,(QQ/微信:13340454)

必填

选填

选填

◎已有 4 人评论,微信:QQ13340454

1楼美女图片  2014-01-08 13:17:29
不明觉厉
顶: 0踩: 0 回复
2楼德国阳光蓄电池  2012-06-07 14:56:58
大惊小怪
顶: 0踩: 0 回复
3楼无敌手即将过期域名查询抢注  2012-06-07 11:49:47
难道这就是传说中的标题党
顶: 0踩: 0 回复
4楼囧事  2014-01-30 18:57:15
又涨姿势了
顶: 0踩: 0 回复
5楼经典荟萃  2013-09-25 16:18:25
还真是头一次听说不带。都能访问
顶: 0踩: 0 回复
6楼名人故事网  2013-08-21 09:17:01
没听说过不带点的域名,通过本文了解了一点。
顶: 0踩: 0 回复
7楼心维随笔  2013-08-20 09:43:17
现在才了解到,还有这么回事。。。
顶: 0踩: 0 回复