厳密には URL ではなくドメイン名の話だが、非常に興味深い。ドメイン名を転売する業者と、フィッシングサイトや犯罪まがいのサイト用と思われる使い捨てのドメイン名が、新規ドメインのほとんどを占めるという実態。
HTTPS化した瞬間にCTログからbotが飛んでくるの、エンジニアの常識にしたい
メモ: 独自ドメインではなくホスティングサービスなどで自動的にサブドメインを割り当てるものも同様。公開 HTTPS 証明書を使う限り、ドメイン名は基本的に観測可能
これはもっと知られていい
URLを誰にも教えてないってのは、ドメイン部分というよりもスラッシュ以下の予測不能な部分というイメージなんだけどな。
そこの開発中の斬新なアイデアな新サービスさん、何にも防御しないと公開してるのと一緒だぞって話
✕URL(example.com/secret_url/) ◯ドメイン(example.com) 雲泥の違いがあるので用語は正確に願いたい
ドメインの話
ドメインが漏れたところで。あとワイルドカード証明書を取ればドメインのホスト部分は漏れない気がするけど。
Cloudflare Tunnelとかはどうなんだろう
紛らわしいタイトル変えるべき
普段の実装時にも確認するので、既知のパスの探索はどのドメインでも試したくはなる
URLというよりはドメインのルートディレクトリとそこから辿れる一般的な名前のものを自動で探すという動きに見える。それらに対しては最低限でも設定を正しくしておくことが必要かな
ドメインとURLの区別できてない?大丈夫?おっぱい揉む?
最近は自宅サーバとか流行ってないからこういう話が出てきてるのかなぁ。クラウドフレアでV6プラスな環境でも自宅サーバ作れるのがわかったのでそのうちやろうと思って幾星霜
調査内容は面白い。倫理境界もある。/内容は新規取得ドメインの話なので「URLを誰にも教えてない」タイトルと内容は齟齬
“独自ドメインでWebアプリを公開した直後から、/.env や /wp-admin、/phpmyadmin といったパスを舐めるリクエストや、../../etc/passwd 系のディレクトリトラバーサルを試みるリクエストが、アクセスログに記録され始める”
ドメインやサイトの所有権証明にも普通にファイル設置型があるけどな。内容もファイル名以上の情報がないやつとか(´-`)まぁ「ドメインを誰にも教えてない、が通じない」はわかる
URLというかFQDNの話では? あとワイルドカード証明書ならCTと一致しないFQDNも使えるわけで。
ドアベルを鳴らしたりドアを開けようする動きは常に絶えない。
wp-adminとかすぐアクセスしてくるよね
証明書を取るとそこから攻撃開始されるので全部のセキュリティ施策を終えてからやらないといけないジレンマ。
先日AWSからACMのCTログオプトアウトをやめるって通知が来て、今あたふたしてる。開発用は隠したいんよ。。。
これ以前も問題になったけど危ういよね。隠しURLを用意するならドメインではなくパスで示す必要がある
邪悪な釣りタイトル
最近気がついたんだけどChromeでアクセスしたURLはサーチコンソールでクローラーが回ってるしタグマネージャもそうやってGTM未実装のページを検出している。こういうのも外部に漏れる可能性があるのだろうか。
まあつまりゼロトラスト
IPv4だと、生IP(ブルートフォースで)でアクセス来るから…とかではない?
「URLを誰にも教えてない」が通じない理由 — CTログを30分監視してみた
厳密には URL ではなくドメイン名の話だが、非常に興味深い。ドメイン名を転売する業者と、フィッシングサイトや犯罪まがいのサイト用と思われる使い捨てのドメイン名が、新規ドメインのほとんどを占めるという実態。
HTTPS化した瞬間にCTログからbotが飛んでくるの、エンジニアの常識にしたい
メモ: 独自ドメインではなくホスティングサービスなどで自動的にサブドメインを割り当てるものも同様。公開 HTTPS 証明書を使う限り、ドメイン名は基本的に観測可能
これはもっと知られていい
URLを誰にも教えてないってのは、ドメイン部分というよりもスラッシュ以下の予測不能な部分というイメージなんだけどな。
そこの開発中の斬新なアイデアな新サービスさん、何にも防御しないと公開してるのと一緒だぞって話
✕URL(example.com/secret_url/) ◯ドメイン(example.com) 雲泥の違いがあるので用語は正確に願いたい
ドメインの話
ドメインが漏れたところで。あとワイルドカード証明書を取ればドメインのホスト部分は漏れない気がするけど。
Cloudflare Tunnelとかはどうなんだろう
紛らわしいタイトル変えるべき
普段の実装時にも確認するので、既知のパスの探索はどのドメインでも試したくはなる
URLというよりはドメインのルートディレクトリとそこから辿れる一般的な名前のものを自動で探すという動きに見える。それらに対しては最低限でも設定を正しくしておくことが必要かな
ドメインとURLの区別できてない?大丈夫?おっぱい揉む?
最近は自宅サーバとか流行ってないからこういう話が出てきてるのかなぁ。クラウドフレアでV6プラスな環境でも自宅サーバ作れるのがわかったのでそのうちやろうと思って幾星霜
調査内容は面白い。倫理境界もある。/内容は新規取得ドメインの話なので「URLを誰にも教えてない」タイトルと内容は齟齬
“独自ドメインでWebアプリを公開した直後から、/.env や /wp-admin、/phpmyadmin といったパスを舐めるリクエストや、../../etc/passwd 系のディレクトリトラバーサルを試みるリクエストが、アクセスログに記録され始める”
ドメインやサイトの所有権証明にも普通にファイル設置型があるけどな。内容もファイル名以上の情報がないやつとか(´-`)まぁ「ドメインを誰にも教えてない、が通じない」はわかる
URLというかFQDNの話では? あとワイルドカード証明書ならCTと一致しないFQDNも使えるわけで。
ドアベルを鳴らしたりドアを開けようする動きは常に絶えない。
wp-adminとかすぐアクセスしてくるよね
証明書を取るとそこから攻撃開始されるので全部のセキュリティ施策を終えてからやらないといけないジレンマ。
先日AWSからACMのCTログオプトアウトをやめるって通知が来て、今あたふたしてる。開発用は隠したいんよ。。。
これ以前も問題になったけど危ういよね。隠しURLを用意するならドメインではなくパスで示す必要がある
邪悪な釣りタイトル
最近気がついたんだけどChromeでアクセスしたURLはサーチコンソールでクローラーが回ってるしタグマネージャもそうやってGTM未実装のページを検出している。こういうのも外部に漏れる可能性があるのだろうか。
まあつまりゼロトラスト
IPv4だと、生IP(ブルートフォースで)でアクセス来るから…とかではない?