Dokumentation

Subdomäner — döda och hängande subdomäner

Vad är döda och hängande subdomäner?

Med tiden samlar organisationer på sig DNS-poster som inte längre pekar på något användbart. Servrar kostar pengar och domänposter kostar det inte, så det är mycket vanligt att servern tas bort medan DNS-posten lever kvar. Två kategorier dyker upp i ExposureIndex-fynd:

Döda subdomäner är DNS-poster som pekar på en IP-adress eller ett värdnamn som inte längre existerar eller inte längre levererar innehåll för dig. Posten är tekniskt sett aktiv i DNS men destinationen är borta.

Hängande subdomäner (även kallade subdomain takeovers) är en allvarligare delmängd: DNS-poster som pekar på en tredjepartstjänst (t.ex. en Heroku-app, GitHub Pages, AWS S3-bucket, Azure-endpoint eller liknande) som har avvecklats på den tjänsten men där DNS-posten aldrig togs bort. En angripare kan registrera samma resurs på tredjepartsplattformen och ta kontroll över din subdomän — med ett giltigt HTTPS-certifikat.

Varför subdomain takeover är allvarligt

När en angripare tar över en hängande subdomän äger de i praktiken hängande.dindomän.se. Från den positionen kan de:

  • Servera phishing-sidor under ditt betrodda varumärke
  • Stjäla cookies som är scopade till *.dindomän.se om din cookie-policy är för bred
  • Skicka e-post från subdomänen, potentiellt kringgå spamfilter
  • Hosta skadlig kod eller drive-by-nedladdningar som verkar komma från din domän

Attacken kräver inget intrång i din infrastruktur — bara en DNS-post som pekar på något angriparen kan hävda äganderätt till.

Vad du bör göra

Steg 1 — Granska dina DNS-poster

Det ExposureIndex gör är att lista så många subdomäner som möjligt som är registrerade under din domän. Vi kan dock missa några. Så det mest effektiva sättet att ha kontroll är att exportera alla DNS-poster för din domän.

För varje CNAME-, A- och AAAA-post, verifiera:

  1. Existerar destinationen fortfarande?
  2. Är destinationen fortfarande under din kontroll?

Var extra uppmärksam på CNAME:er som pekar på: - *.herokudns.com, *.herokuapp.com - *.azurewebsites.net, *.cloudapp.net - *.github.io - *.s3.amazonaws.com, *.s3-website-*.amazonaws.com - *.netlify.app, *.vercel.app - *.zendesk.com, *.shopify.com, *.ghost.io

Dessa är vanliga källor till hängande subdomäner eftersom projekt på dessa plattformar ofta skapas och raderas utan att motsvarande DNS-städning görs.

Steg 2 — Ta bort poster du inte längre behöver

För varje subdomän som är död eller hängande, radera DNS-posten. Detta är den enda pålitliga åtgärden. Det finns ingen nytta med att behålla DNS-poster för tjänster du inte längre använder.

Steg 3 — Återkräv resursen (tillfällig nödlösning)

Om omedelbar DNS-borttagning inte är möjlig (t.ex. pågår en driftsättning), återkräv resursen på tredjepartsplattformen under ditt konto för att förhindra att en angripare hävdar den först. Detta är bara en nödlösning — ta bort DNS-posten så snart driftsättningen är klar.

Steg 4 — Upprätta en avvecklingschecklista

Grundorsaken till hängande subdomäner är alltid densamma: en tjänst stängdes av men DNS-posten städades inte bort. Lägg till "ta bort DNS-post" som ett obligatoriskt steg i din avvecklingsrutin för tjänster.

Identifiera CNAME:er som är sårbara för takeover

Du kan kontrollera en CNAME:s destination efter vanliga "ej hävdad"-felmeddelanden. Till exempel:

  • Heroku: No such app eller There's nothing here, yet
  • GitHub Pages: There isn't a GitHub Pages site here
  • AWS S3: NoSuchBucket
  • Azure: The requested resource is not found

Om din subdomäns CNAME löser upp till ett sådant meddelande är den troligen sårbar för takeover.

Senast uppdaterad: March 28, 2026