Säkerhetskontroll

Subdomain takeover: kan någon kapa era subdomäner?

En DNS-post som pekar på en molntjänst ni slutat använda kan kapas av vem som helst som återregistrerar den. Vi kartlägger era subdomäner och hittar de dangling-poster som går att ta över.

Kör gratis domänscan Alla kontroller →
Berör: OWASP · Subdomain Takeover ISO 27001 · A.8.9 konfigurationshantering NIS2 · art. 21 — attackyta CIS · Controls v8 — 4

Vad kontrolleras?

Vi räknar upp era subdomäner och kontrollerar varje DNS-post: pekar en CNAME på en extern tjänst (t.ex. S3, GitHub Pages, Azure, Heroku, Netlify) som inte längre är anspråkstagen? En sådan dangling-post kan återregistreras av en angripare och användas för nätfiske under ert domännamn.

Varför spelar det roll?

En kapad subdomän ligger på er betrodda domän — perfekt för phishing, cookie-stöld och att kringgå domänbaserad tillit. Det är en av de vanligaste och mest förbisedda bristerna i en växande attackyta, och den syns inte i era egna system.

Hur Security Guru testar det

Vanliga fel

  • DNS-post kvar efter att en molntjänst avvecklats
  • Gamla kampanj-/testsubdomäner ingen längre äger
  • CNAME mot en S3-bucket eller Pages-sajt som raderats
  • Ingen inventering av vilka subdomäner som faktiskt pekar vart

Vad du får i rapporten

  • Alla subdomäner och deras DNS-mål
  • Kapbara (dangling) poster prioriterade efter risk
  • Exakt vilken post som ska tas bort eller återkopplas
  • Mappning mot attackyte-krav i NIS2/ISO

Vanliga frågor

Tar ni faktiskt över subdomänen?

Nej — vi verifierar att den är kapbar utan att registrera tjänsten eller publicera något. Ni åtgärdar utifrån rapporten.

Hur hittar ni våra subdomäner?

Via publika källor: certifikatloggar (CT), DNS och passiva register — samma yta en angripare ser.

Ingår detta i genomlysningen?

Ja — subdomain takeover är en kärndel av vår externa attackyta-genomlysning.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan