網(wǎng)絡(luò)域名不帶點(diǎn)，是不是帶來有危害？

域名可以不帶點(diǎn)嗎？

規(guī)范說：「必須帶點(diǎn)，哪怕你是頂級(jí)域名?！?br />知友說：「不帶點(diǎn)危害不亞于當(dāng)年的千年蟲。」
前端說：「除非是本地hosts映射的?！?br />米農(nóng)說：「那樣的話手里的域名都?xì)Я?。?br />
看上去大家似乎都確信自己掌握了真相。

我的答案是：的確有不帶點(diǎn)的域名，對(duì)于一個(gè)猥瑣流來說沒有比突破常識(shí)更有趣的事了。

在去年的一個(gè)瀏覽器漏洞發(fā)掘過程中，為了擴(kuò)展漏洞的威力，我嘗試找出那些不帶點(diǎn)的域名。過程不細(xì)說了，結(jié)果是：
http://io


http://ac


可以正常訪問，當(dāng)然我們需要先訪問一次后面帶點(diǎn)域名讓DNS緩存(ac.)。
注 ：國(guó)內(nèi)的DNS是無法解析的，原因不詳，測(cè)試的話可以用8.8.8.8。

Why?
不知道，我只知道這兩 NIC 違規(guī)了?；ヂ?lián)網(wǎng)世界從來不缺奇葩，猥瑣流們都很樂于去發(fā)現(xiàn)他們，大家有這方面困惑歡迎 @ 我。
------------------更新下危害------------------
關(guān)于危害

我不想說什么局域網(wǎng)，search，google 啥的，說點(diǎn)實(shí)際的。IE 有個(gè)特性，主機(jī)名中沒有點(diǎn)( . )的域名自動(dòng)識(shí)別為intranet域 (這是個(gè)黑盒規(guī)則)，而intranet 域的站點(diǎn)擁有更多的權(quán)限。

針對(duì)這點(diǎn)， 我發(fā)掘了一個(gè) io 域名下的跨站腳本漏洞。之后可以做什么了呢？

1. 繞過同源策略跨域獲得任意網(wǎng)站的代碼。

2. 調(diào)用wscript.shell組件執(zhí)行本地命令

分享文章：網(wǎng)絡(luò)域名不帶點(diǎn)，是不是帶來有危害？
文章來源：http://bm7419.com/news46/325796.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、外貿(mào)建站、云服務(wù)器、軟件開發(fā)、企業(yè)建站、網(wǎng)站營(yíng)銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)