这是一个创建于 1896 天前的主题,其中的信息可能已经有所发展或是发生改变。
具体是这样的:半年前我在 nameslio 上注册了一个域名,然后将 dns 改成 dnspod 的域名后就没管它,今天来使用绑定在 dnspod 时候提示被人使用中,需要修改一个 txt 记录取回,当我取回后发现提示该域名在 dnspod 上有违规被封禁,完蛋,新域名就死于胎中,
发现 dnspod 有个漏洞,如果别人将域名 dns 改成 dnspod,dnspod 的任意账户都可以接入
 | 1 Lentin 2020-09-20 17:04:53 +08:00 这个不是 dnspod 的漏洞,是你没有认领导致的、、 |
 | 2 Ptu2sha 2020-09-20 17:05:50 +08:00 上次我记得有个小哥发过类似的系统 控制别人的域名 |
 | 4 just1 2020-09-20 17:08:36 +08:00 dns 都改了不就代表确认了吗,请问还有什么方式可以确认是你 你在哪家都这样 |
 | 5 herozzm OP @just1 我觉得可以在原 dns 上加一条 txt 记录和你的 dnspod 对应,验证成功方可接入,和取回原理一直 |
 | 6 chinvo 2020-09-20 17:12:26 +08:00  1 @herozzm #5 有一些服务商自己不提供 dns,这种时候该咋“加一条记录” 而注册局端的 NS 记录,是可以设置为空的,如果自己决定要久悬不用,为啥不设为空值 所以这个不是 DNS 服务商的漏洞,而是域名持有者个人疏忽 |
| 9 herozzm OP 凉拌了,换域名 |
 | 10 Rhinecho 2020-09-20 17:19:44 +08:00 via iPhone dnspod 上有违规又不影响你用 alidns nsone route53 constellix cloudflare dnsmadeeasy azuredns cloudns misakaio 换个 dns 提供商就行了 |
 | 14 opengps 2020-09-20 17:47:35 +08:00 via Android 算不上漏洞。但是能被人成功接管走,确实需要反思下是不是泄露了什么数据 |
 | 15 imdong 2020-09-20 17:51:57 +08:00 黑灰产惯用手法,这个基本上正确做法是先在 DNS 添加域名,然后在修改注册商这边的 DNS 。 在群里和官方反馈过,基本无解。他们也只能监控异常账户进行封禁。 |
 | 16 laoyur 2020-09-20 18:25:23 +08:00 以前有个老哥来这卖这个方案的,刷 CF 的接入 |
 | 17 Maskeney 2020-09-20 18:28:56 +08:00 “NS 指向 DNSPOD 之后就没管它” |
 | 18 sheeta 2020-09-20 18:47:51 +08:00 1 所有这个时候 cloudflare 的优点就体现出来了 |
 | 19 zsdroid 2020-09-20 19:28:37 +08:00 注册了就没管它??土豪还缺朋友吗? |
 | 20 masker 2020-09-20 19:31:09 +08:00 via Android 遇事不决网站漏洞? |
 | 22 hatebugs 2020-09-20 20:10:45 +08:00 via Android 你自己买的域名后修改下 ns 呀,不然有这种可能 |
 | 23 mschultz 2020-09-20 20:15:18 +08:00 Cloudflare 优点体现出来了 +1 What's the story behind the names of CloudFlare's name servers? https://blog.cloudflare.com/whats-the-story-behind-the-names-of-cloudflares-name-servers/ |
 | 24 iburu 2020-09-20 20:21:30 +08:00 via Android h |
 | 25 mcone 2020-09-20 21:42:36 +08:00 1 大概几年前我见过有一个老哥在 V 站“卖”自己的 AdSense 域名群的,域名数量巨大,收益明显不够域名的成本,被人追问遮遮掩掩,十有八九是薅你这种人羊毛的…… 你要是能找到那个帖子联系到楼主,搞不好还能在 list 里面见到自己的域名……哈哈 |
 | 26 anguiao 2020-09-20 22:25:59 +08:00 确实是,我以前也碰过类似的情况 |
 | 27 o0 2020-09-20 23:44:18 +08:00 这就好比把自己家钥匙插门上不管它,大概率是有可能会进贼的。 |
 | 28 jiangzm 2020-09-21 00:25:08 +08:00 是都可以添加,但是能验证成功的只有 owner,这叫哪门子漏洞? |
 | 29 nbweb 2020-09-21 09:06:50 +08:00 买来的域名,第一时间改 ns 。 |
 | 30 tankeji 2020-09-21 10:13:41 +08:00 我一直觉得这个接入不对 |
 | 31 misty8873 2020-09-21 12:34:51 +08:00 因为你之前别人也有用过这个域名,到期了 人家也没有删除罢了。。。 |
Select Language