Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

TakeOver, scanner de vulnérabilités de reprise de sous-domaine



Une vulnérabilité de prise de contrôle de sous-domaine se produit lorsqu'un sous-domaine (subdomain.example.com) pointe vers un service (par exemple, GitHub, AWS / S3, ..) qui a été supprimé. Cela permet à un attaquant de configurer une page sur le service utilisé et de pointer sa page vers ce sous-domaine. Par exemple, si subdomain.example.com pointe vers une page GitHub et que l'utilisateur décide de supprimer sa page GitHub, un attaquant peut maintenant créer une page GitHub, ajouter un fichier CNAME contenant "subdomain.example.com" et prétendre être sous-domaine.example.com. Pour plus d'informations: ici

Services supportés

'AWS/S3'
'BitBucket'
'CloudFront'
'Github'
'Shopify'
'Desk'
'Fastly'
'FeedPress'
'Ghost'
'Heroku'
'Pantheon'
'Tumbler'
'Wordpress'
'Desk'
'ZenDesk'
'TeamWork'
'Helpjuice'
'Helpscout'
'S3Bucket'
'Cargo'
'StatuPage'
'Uservoice'
'Surge'
'Intercom'
'Webflow'
'Kajabi'
'Thinkific'
'Tave'
'Wishpond'
'Aftership'
'Aha'
'Tictail'
'Brightcove'
'Bigcartel'
'ActiveCampaign'
'Campaignmonitor'
'Acquia'
'Proposify'
'Simplebooklet'
'GetResponse'
'Vend'
'Jetbrains'
'Unbounce'
'Tictail'
'Smartling'
'Pingdom'
'Tilda'
'Surveygizmo'
'Mashery'


Installation:

# git clone https://github.com/m4ll0k/takeover.git
# cd takeover
# python takeover.py


ou:
wget -q https://raw.githubusercontent.com/m4ll0k/takeover/master/takeover.py && python takeover.py

Utilisation

$ python takeover.py --sub-domain site.site.com
$ python takeover.py --sub-domain site.site.com --set-proxy xxx.xxx.xxx.xxx
$ python takeover.py --sub-domain-list sub.txt --set-output sub_out.txt
$ python takeover.py --sub-domain-list sub.txt --set-output sub_out.txt --set-proxt xxx.xxx.xxx.xxx
$ python takeover.py --sub-domain-list sub.txt --set-output sub_out.txt --set-timeout 3


Avertissement

L'utilisation de ce programme ne peut se faire que dans le cadre légal d'un audit de vulnérabilités, basé sur le consentement mutuel. Il est de la responsabilité de l'utilisateur final de ne pas utiliser ce programme dans un autre cadre. SecuriteInfo.com n'assume aucune responsabilité et n'est pas responsable de toute mauvaise utilisation ou de tout dommage causé par ce programme.

Téléchargement



Partager cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com