-
规范说:「必须带点,哪怕你是顶级域名。」
知友说:「不带点危害不亚于当年的千年虫。」
前端说:「除非是本地hosts映射的。」
米农说:「那样的话手里的域名都毁了。」
看上去大家似乎都确信自己掌握了真相。
我的答案是:的确有不带点的域名,对于一个猥琐流来说没有比突破常识更有趣的事了。
在去年的一个浏览器漏洞发掘过程中,为了扩展漏洞的威力,我尝试找出那些不带点的域名。过程不细说了,结果是:
可以正常访问,当然我们需要先访问一次后面带点域名让DNS缓存( ac. )。
注 :国内的DNS是无法解析的,原因不详,测试的话可以用8.8.8.8。
Why?
不知道,我只知道这两 NIC 违规了。互联网世界从来不缺奇葩,猥琐流们都很乐于去发现他们,大家有这方面困惑欢迎 @ 我。
关于危害
我不想说什么局域网,search,google 啥的,说点实际的。IE 有个特性,主机名中没有点( . )的域名自动识别为intranet域 (这是个黑盒规则),而intranet 域的站点拥有更多的权限。
针对这点, 我发掘了一个 io 域名下的跨站脚本漏洞。之后可以做什么了呢?
绕过同源策略跨域获得任意网站的代码。
调用wscript.shell组件执行本地命令
前者可以获取你的web身份,后者可以获得你的本地权限,危害你自己看着办。
文章来源:知乎
顶: 0 踩: 0相关链接:好域名注册地址
来源:卢松松博客 QQ/微信:13340454
域名为什么必须带点 (.) 及不带点的危害
| 阅读量 | 分类: 好文分享 | 作者: 卢松松
相关文章阅读更多:互联网
- 2024-10-12 信息流优化师都在看的,营销师职业规划
- 2024-09-29 一个人注册50个公众号,有人靠这月入过万
- 2024-09-19 为什么电商公司老板,每过一段时间就会把运营弄离职
- 2024-09-16 马化腾开口预言下一个风口!
- 2024-09-15 十年前的BAT,到现在的BAT,谁掉队了?
- 2024-09-10 靠思域成交年赚百万,我是如何运营朋友圈的
- 2024-09-09 盘点国内浏览器,小微企业内容营销必知秘籍
- 2024-09-08 0撸越来越难,互联网赚钱何去何从?
- 2024-09-05 干互联网技术才是草根第一生产力!
- 2024-08-24 WPS套娃式会员制度让人望而却步
- 2024-08-08 网站真的没必要在做了
- 2024-08-05 未来想网络赚钱,我们该何去何从?
- 2024-07-26 某社群一夜赚千万,它在割韭菜么?
- 2024-07-24 这次全球级别的windows蓝屏事件,不受影响的四个国家
- 2021-09-08凡是在卢松松博客投稿的作者都有机会得到IT类图书哦!
发表感想加入微信群
域名专业抢注
辣椒烘干设备
德国阳光蓄电池
无敌手即将过期域名查询抢注
囧事
经典荟萃
名人故事网
心维随笔