web-dev-qa-db-ja.com

サードパーティのWebサイトから、TXTレコードを使用してドメインの所有権を検証してほしい

TXTサードパーティツールのレコードを追加することによるセキュリティリスクは何ですか?それらのレコードを追加することで、サーバーから情報を取得できますか?

以下の例は、 "pwnedされた" Webサイト からのものです:

enter image description here

3
john_zombie

はい、特定の状況下では可能です。

TXTレコードは、TLS(HTTPS)証明書の発行など、さまざまな理由でドメイン名の所有権を確認するために頻繁に使用されます。たとえば、 これはその方法です with DigiCert これは、世界最大の 認証局 の1つです。

プロセスはあなたの場合とまったく同じであることに注意してください:(ツールから提供された)一見任意の英数字の文字列を取得し、それをドメインのTXTレコードに含める必要があります。 。

潜在的な攻撃者は、CAの検証エージェントから取得した文字列をユーザーに提供し、ドメインの有効なHTTPS証明書を取得できます。次に、証明書を使用できます。 for man-in-the-middle Webサイトに対する攻撃。

そのシナリオに対処するために、最近のほとんどの検証エージェントは、TXTレコードの任意の英数字文字列だけでなく、検証エージェントをかなり一意に識別することが期待される接頭辞付きの文字列も生成します。現時点では あなたが言及したサービス はまさにそれを行うようです:それは私に文字列have-i-been-pwned-verification=e6c252c87a4bd0e0fd7cb39a057bb0b3を提供しました。これには、簡単に認識でき、明らかに無害なプレフィックスhave-i-been-pwned-verification=が含まれています。

参照してください別のWebサービス(CAを含む)がだれでも正確にその接頭辞を持つ文字列を発行することはほとんどありません

youが検証を行っているときに、プレフィックスがまだ残っていることを確認してください。)

検証エージェントの潜在的な(そして重大な、したがってありそうもない)脆弱性は別として、長くて一意のプレフィックスを持つプレフィックス付きの文字列は、TXTレコードに短期間記録しても安全です。

5
ximaera