Subdomains

Lorsqu'on explore les enregistrements DNS, on se concentre souvent sur le domaine principal (par exemple, example.com). Pourtant, une partie essentielle de la surface d'attaque réside dans les sous-domaines. Ce sont des extensions du domaine principal, utilisées pour organiser les services et les fonctionnalités d'un site web. Par exemple :

  • blog.example.com pour un blog

  • shop.example.com pour une boutique en ligne

  • mail.example.com pour les services de messagerie

🎯 Pourquoi les sous-domaines sont importants en reconnaissance web ?

Les sous-domaines hébergent souvent des ressources ou des interfaces non référencées depuis la page principale. Cela inclut :

  • Environnements de développement ou de préproduction : moins sécurisés, ils peuvent contenir des vulnérabilités ou des données sensibles.

  • Portails d'administration : interfaces de connexion dissimulées mais accessibles via un sous-domaine.

  • Applications héritées : anciennes applications oubliées avec des failles connues.

  • Fichiers ou données sensibles : documents internes, fichiers de configuration, journaux, etc.

🧭 Subdomain Enumeration

La subdomain enumeration est le processus de détection et de liste des sous-domaines existants pour un domaine donné. Du point de vue DNS, un sous-domaine correspond souvent à un enregistrement A (IPv4), AAAA (IPv6), ou CNAME.

🔍 1. Active Subdomain Enumeration

Elle repose sur l'interaction directe avec les serveurs DNS de la cible. Voici les techniques principales :

  • Zone Transfer (AXFR) : permet d'obtenir tous les enregistrements d'un domaine. Très rarement ouvert aujourd'hui.

  • Brute Force DNS : consiste à tester une liste de noms courants (via wordlist) pour découvrir les sous-domaines existants.

📦 Outils courants :

  • dnsenum

  • ffuf

  • gobuster

Ces outils testent admin.example.com, test.example.com, etc., à partir d'une wordlist.

🕵️‍♂️ 2. Passive Subdomain Enumeration

Cette méthode repose sur des sources externes, sans requêtes directes vers le DNS de la cible. Elle inclut :

  • Certificate Transparency Logs : les certificats TLS publics exposent souvent des sous-domaines via le champ Subject Alternative Name (SAN).

  • Moteurs de recherche : avec l'opérateur site: pour cibler un domaine spécifique.

    • Exemple : site:*.example.com dans Google

  • Bases de données publiques : comme crt.sh, DNSDumpster, SecurityTrails, Spyse, etc.

📊 Comparaison

Méthode
Avantages
Inconvénients

Active

Contrôle, possibilités étendues

Détectable, nécessite des autorisations DNS

Passive

Discrète, sans alerte

Moins exhaustive

✅ Approche recommandée

Utiliser les deux techniques combinées permet d’obtenir une cartographie plus complète et fiable des sous-domaines. Commencer par une phase passive pour identifier des pistes, puis compléter avec une phase active ciblée.

🔐 En pentest, chaque sous-domaine est un potentiel point d'entrée. Une découverte exhaustive est essentielle pour une évaluation de sécurité sérieuse.


Mis à jour