http://www.stackoverflow.com./不起作用,注意尾随的点。
Bad Request - Invalid Hostname
HTTP Error 400. The request hostname is invalid.
是否应将服务器配置为拒绝任何没有尾随点的 URL?(如果没有尾随点,它们就不是 FQDN,根据 RFC,它们是相对域名。)
流氓 DHCP 服务器能否将 DNS 后缀搜索路径推送到客户端并利用此漏洞?
假设流氓 DHCP 服务器能够推送“evildomain.com”的 DNS 搜索后缀,那么用户访问 chase.com 时,将导致访问“chase.com.evildomain.com”。访问“chase.com”(末尾带有点,是 FQDN)的用户不易受到此漏洞攻击。
几乎我看到的媒体上发布的每个 URL 都是相对的(因为尾随点不是明确的,并且只有在底层库添加尾随点后才会成为真正的 FQDN)。
我们是否应该尽可能地强制使用绝对域名或 FQDN?
在 Windows 上,恶意 Web 服务器难道不能简单地更改最终用户的 DNS 后缀搜索路径吗?在 *nix 机器上,需要提升权限才能更新 resolv.conf(其中配置了 DNS 搜索后缀),但 nix 用户是否仍然容易受到 DHCP 欺骗攻击?
答案1
是的,这是一个漏洞。不,服务器不应该在使用互联网相关域名查询时停止提供内容。
尝试弄清楚一个名称是互联网相对名称还是仅仅是相对名称,对于一个好的无状态通用解决方案来说不是问题。一个糟糕的无状态解决方案是废除所有相对命名的使用。相对名称的存在是有正当理由的。
应注意确保使用 FQDN 产生的内容与互联网相关域名相同。这主要是http
服务器的问题。
如果你想热情而不令人讨厌:
- 当可以使用 FQDN 时,切勿使用 Internet 相对域名
- 使用永久重定向
308
或301
在您的网络服务器上为客户端指明正确的方向。
答案2
每当我配置任何接受 DNS 域名的东西时,我都会在后面加上一个点。有些系统在尝试验证输入时会拒绝这一点,这很遗憾。如果您的域名后缀由两部分组成,那么依靠 DNS 委托进行 AD 遍历的 Windows 客户端可能会很麻烦。MS 已记录了解决方法。
参考 resolv.conf... 等效的 Windows 配置也需要提升权限才能实现更改。
答案3
默认情况下,DNS 客户端在尝试搜索路径之前会首先尝试包含至少一个点作为 FQDN 的查询。