Subdomains
Lorsqu'on explore les enregistrements DNS, on se concentre souvent sur le domaine principal (par exemple, example.com
). Pourtant, une partie essentielle de la surface d'attaque réside dans les sous-domaines. Ce sont des extensions du domaine principal, utilisées pour organiser les services et les fonctionnalités d'un site web. Par exemple :
blog.example.com
pour un blogshop.example.com
pour une boutique en lignemail.example.com
pour les services de messagerie
🎯 Pourquoi les sous-domaines sont importants en reconnaissance web ?
Les sous-domaines hébergent souvent des ressources ou des interfaces non référencées depuis la page principale. Cela inclut :
Environnements de développement ou de préproduction : moins sécurisés, ils peuvent contenir des vulnérabilités ou des données sensibles.
Portails d'administration : interfaces de connexion dissimulées mais accessibles via un sous-domaine.
Applications héritées : anciennes applications oubliées avec des failles connues.
Fichiers ou données sensibles : documents internes, fichiers de configuration, journaux, etc.
🧭 Subdomain Enumeration
La subdomain enumeration est le processus de détection et de liste des sous-domaines existants pour un domaine donné. Du point de vue DNS, un sous-domaine correspond souvent à un enregistrement A
(IPv4), AAAA
(IPv6), ou CNAME
.
🔍 1. Active Subdomain Enumeration
Elle repose sur l'interaction directe avec les serveurs DNS de la cible. Voici les techniques principales :
Zone Transfer (AXFR) : permet d'obtenir tous les enregistrements d'un domaine. Très rarement ouvert aujourd'hui.
Brute Force DNS : consiste à tester une liste de noms courants (via wordlist) pour découvrir les sous-domaines existants.
📦 Outils courants :
dnsenum
ffuf
gobuster
Ces outils testent admin.example.com
, test.example.com
, etc., à partir d'une wordlist.
🕵️♂️ 2. Passive Subdomain Enumeration
Cette méthode repose sur des sources externes, sans requêtes directes vers le DNS de la cible. Elle inclut :
Certificate Transparency Logs : les certificats TLS publics exposent souvent des sous-domaines via le champ
Subject Alternative Name (SAN)
.Moteurs de recherche : avec l'opérateur
site:
pour cibler un domaine spécifique.Exemple :
site:*.example.com
dans Google
Bases de données publiques : comme
crt.sh
,DNSDumpster
,SecurityTrails
,Spyse
, etc.
📊 Comparaison
Active
Contrôle, possibilités étendues
Détectable, nécessite des autorisations DNS
Passive
Discrète, sans alerte
Moins exhaustive
✅ Approche recommandée
Utiliser les deux techniques combinées permet d’obtenir une cartographie plus complète et fiable des sous-domaines. Commencer par une phase passive pour identifier des pistes, puis compléter avec une phase active ciblée.
🔐 En pentest, chaque sous-domaine est un potentiel point d'entrée. Une découverte exhaustive est essentielle pour une évaluation de sécurité sérieuse.
Mis à jour