域名可以不帶點(diǎn)嗎？

規(guī)范說(shuō)：「必須帶點(diǎn)，哪怕你是頂級(jí)域名。」
知友說(shuō)：「不帶點(diǎn)危害不亞于當(dāng)年的千年蟲(chóng)。」
前端說(shuō)：「除非是本地hosts映射的。」
米農(nóng)說(shuō)：「那樣的話(huà)手里的域名都?xì)Я恕！?br />
看上去大家似乎都確信自己掌握了真相。

我的答案是：的確有不帶點(diǎn)的域名，對(duì)于一個(gè)猥瑣流來(lái)說(shuō)沒(méi)有比突破常識(shí)更有趣的事了。

在去年的一個(gè)瀏覽器漏洞發(fā)掘過(guò)程中，為了擴(kuò)展漏洞的威力，我嘗試找出那些不帶點(diǎn)的域名。過(guò)程不細(xì)說(shuō)了，結(jié)果是：
http://io


http://ac


可以正常訪(fǎng)問(wèn)，當(dāng)然我們需要先訪(fǎng)問(wèn)一次后面帶點(diǎn)域名讓DNS緩存(ac.)。
注 ：國(guó)內(nèi)的DNS是無(wú)法解析的，原因不詳，測(cè)試的話(huà)可以用8.8.8.8。

Why?
不知道，我只知道這兩 NIC 違規(guī)了。互聯(lián)網(wǎng)世界從來(lái)不缺奇葩，猥瑣流們都很樂(lè)于去發(fā)現(xiàn)他們，大家有這方面困惑歡迎 @ 我。
------------------更新下危害------------------
關(guān)于危害

我不想說(shuō)什么局域網(wǎng)，search，google 啥的，說(shuō)點(diǎn)實(shí)際的。IE 有個(gè)特性，主機(jī)名中沒(méi)有點(diǎn)( . )的域名自動(dòng)識(shí)別為intranet域 (這是個(gè)黑盒規(guī)則)，而intranet 域的站點(diǎn)擁有更多的權(quán)限。

針對(duì)這點(diǎn)， 我發(fā)掘了一個(gè) io 域名下的跨站腳本漏洞。之后可以做什么了呢？

1. 繞過(guò)同源策略跨域獲得任意網(wǎng)站的代碼。

2. 調(diào)用wscript.shell組件執(zhí)行本地命令

分享文章：網(wǎng)絡(luò)域名不帶點(diǎn)，是不是帶來(lái)有危害？
文章來(lái)源：http://chinadenli.net/news46/325796.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、外貿(mào)建站、云服務(wù)器、軟件開(kāi)發(fā)、企業(yè)建站、網(wǎng)站營(yíng)銷(xiāo)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)