GitHub Pages、Herokuアプリ、その他のサービスは、サブドメインを乗っ取られた攻撃者の標的となります。
攻撃者は、Subdomain Takeover ManagerやSubdomain Repositoryといったカスタムチェックツールを含む様々なツールを用いて、サブドメイン自体を検出・制御することができます。
また、攻撃者はスクリプトを用いてGitHubやAWSなどの外部サービスプロバイダーからドメイン名を盗むことも可能です。
これは、会社名やメールアドレスなどの機密情報を盗むことにも利用されます。
しかし、攻撃者は許可なくサブドメインにアクセスすることはできません。
コメント