关于Domain-Protect
Domain-Protect是一款功能强大的子域安全防护工具,可以帮助研究人员更好地保护其网站免受子域接管攻击。该工具支持以下两个目标:
扫描AWS组织中的AmazonRoute53,获取存在安全问题的域名记录,然后尝试进行域名接管检测;可以通过DomainProtectforGCP检测GoogleCloudDNS中存在安全问题的域名;
子域名检测功能
扫描AmazonRoute53以识别:
缺少S3源的CloudFront发行版的ALIAS记录;缺少S3源的CloudFront分配的CNAME记录;ElasticBeanstalk的ALIAS记录容易被接管;缺少托管区域的注册域名;容易被接管的子域;容易被接管的S3ALIAS记录;容易被接管的S3CNAME记录;Azure资源中存在安全问题的CNAME记录;缺少GoogleCloudStorageBucket的CNAME记录;
可选的额外检测
这些附加检测功能默认关闭,因为在扫描大型组织时可能会导致Lambda超时,例如扫描丢失的GoogleCloudStorageBucket的A记录。要启用此功能,请在tfvars文件或CI/CD管道中创建以下Terraform变量:
lambdas=['alias-cloudfront-s3','alias-eb','alias-s3','cname-cloudfront-s3','cname-eb','cname-s3','ns-domain','ns-subdomain','cname-azure','cname-google','a-storage'
通知
通过Slack通知扫描到的每个漏洞类型,枚举帐户名和漏洞域名;订阅SNS主题,发送JSON格式的邮件通知,其中包含存在安全问题的账户名、账户ID、域名;
工具要求
需要AWS组织内的安全审核账户;组织中的每个AWS账户都具有同名只读角色的安全审核;Terraform状态文件的存储桶;地形1.0.x;
工具源码获取
研究人员可以通过以下命令将项目源代码克隆到本地:
工具使用
将Terraform状态S3存储桶字段(TERRAFORM_STATE_BUCKET)替换为以下命令形式;对于本地测试,复制项目中的tfvars.example,重命名并去掉.example后缀;输入与您的组织相关的详细信息;在CI/CD管道中输出Terraform变量;
AWSIAM策略
对于最低权限访问控制,该项目提供了AWSIAM策略示例:
域保护审核策略域保护审核信任关系与外部ID的域保护审核信任关系域保护部署策略
工具使用截图
部署到安全审核帐户:
扫描整个AWS组织:
通过Slack或电子邮件接收提醒消息:
从笔记本电脑手动执行扫描任务:
项目地址
域保护:[GitHub门户
原文地址: