24/7 Qo'llab-quvvatlash
Tez-tez Beriladigan Savollar
 Boshqaruv paneli
Hisob Balansi:    
Domainlaringizni boshqalar qo‘liga o‘tkazib qo‘yish xavfi

Domainlaringizni boshqalar qo‘liga o‘tkazib qo‘yish xavfi

May 19, 2026 dns security github pages domain hijacking web hosting best practices dns configuration cybersecurity

Domeningiz Begona Qo‘llarda: DNS Wildcard va GitHub Pages Muammosi

Internet aloqasi zaif Afrika bo‘ylab sayohat qilayotganingizni tasavvur qiling. Bir kuni pochta qutingizda Google Search Console’dan xabar chiqadi: kimdir sizning domeningizda yangi subdomain ochib, o‘z saytini joylashtirgan.

Bu vaziyat oddiy xayol emas. Bitta dasturchi GitHub Pages orqali 3D nuqtali grafik loyihasini joylashtirgan edi. U bir necha hafta davomida internetdan uzilgan holatda edi. Shu vaqt ichida kafka.immersivepoints.com subdomeni boshqa odam qo‘liga o‘tib, u yerda slot mashinalari haqidagi firibgarlik saytlari ishga tushirilgan edi.

Qulaylik xavfsizlikdan muhimroq

GitHub Pages statik saytlar uchun juda qulay. Server sozlamalari bilan ovora bo‘lmay, oddiy DNS yozuvlarini qo‘yib, saytingizni ishga tushirish mumkin.

Shu dasturchi ham *.immersivepoints.com wildcard DNS yozuvini GitHub serverlariga yo‘naltirgan edi. Bu juda sodda va toza ko‘rinardi. Lekin xavfsizlik jihatdan zaif edi.

GitHubning zaif tomoni

GitHub Pagesda muammo shundaki, u har qanday repositoriyadagi CNAME faylini qabul qiladi. DNS yozuvlari GitHub serverlariga yo‘naltirilgan ekan, hech qanday tasdiqlash talab qilinmaydi.

Shuning uchun boshqa GitHub foydalanuvchisi kafka.immersivepoints.com ga yo‘naltirilgan CNAME faylini o‘z repositoriyasiga qo‘yib, saytni ishga tushiradi. Domen egasi bu haqda xabardor ham qilinmaydi.

Wildcard DNSning xavfi

Wildcard DNS — *.yourdomain.com kabi yozuv — butun subdomenlarni bitta joyga yo‘naltiradi. Bu qulay, shu bilan birga xavfli ham. Bu yozuv bilan siz GitHubga butun subdomenlarni boshqarish huquqini berasiz.

Bunday holatda har qanday odam sizning domeningiz ostida yangi subdomen ochib, o‘z saytini joylashtirishi mumkin. Bu misolda esa firibgarlar bu imkoniyatdan foydalanib, slot mashinalari haqidagi saytlarni ishga tushirdilar.

Hech kim sezmaydi — faqat monitoring orqali

Dasturchi bu holatni faqat Google Search Console orqali aniqladi. Agar u bu xizmatni sozlamagan bo‘lsa, firibgarlik saytlari domenida uzoq vaqt davomida ishga tushirga<|eos|>

Read in other languages:

RU BG EL CS TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN