UJP - 技術情報2 : Have I Been Pwnedでドメインサーチを使う SecurityTool/HIBPdomainSearch

Life is fun and easy!
不正IP報告数

Okan Sensor
Home Information Service Tech(Free) Tech(Member) Blog FAQ
 
メイン
ログイン

ユーザー名:


パスワード:





パスワード再発行手続き  |無料会員入会手続へ...
ブログ カテゴリ一覧

Have I Been Pwnedでドメインサーチを使う anchor.png Edit

Page Top

はじめに anchor.png Edit

 Microsoftのエンジニアが運営しているHave I Been Pwnedで,管理しているドメインに属するメールアドレスが流出していないか確認してみる.

 なお,検索する際には,そのドメインの管理者とわかるようにするために,検証用コードがpostmasterに届くので,それをみる権限が必要となる.

Page Top

手順 anchor.png Edit

 下記のサイトにアクセス.

Have I Been Pwned:Domain Search https://haveibeenpwned.com/DomainSearch

 アクセスすると次のような画面.

index.php?page=view&file=7134&HIBPDomainSearch1.jpg

 ドメイン名を登録する.

 Subscripbe meのチェックを入れると,今後流出された際にメールが届くようになる.

 今回は不要なのでチェックしない.

index.php?page=view&file=7135&HIBPDomainSearch2.jpg

 Begin verificationボタンを押下する.  

index.php?page=view&file=7132&HIBPDomainSearch3.jpg

 管理者を確認できるメールアドレスを選択する.今回はpostmasterを選択.

 send verification mailボタンを押下する.

index.php?page=view&file=7131&HIBPDomainSearch4.jpg

 この画面が出るが,メールが届くまで待つ.

index.php?page=view&file=7130&HIBPDomainSearch5.jpg

 postmasterにメールが届いたサンプル.

 トークンが記述されているので,それを利用.

index.php?page=view&file=7129&HIBPDomainSearch6.jpg

 メールに書かれていたトークンをペーストする.

index.php?page=view&file=7127&HIBPDomainSearch7.jpg

 トークンがあっていたら,successful!と表示される.

 検証の結果,対象データがあろうがなかろうが,情報をダウンロードできる.

 今回はExcel形式でデータをダウンロード.

 ダウンロードしたExcelファイルを開いてみると・・・

index.php?page=view&file=7128&HIBPDomainSearch8.jpg

 過去にMySpaceで漏洩していたことがわかる.

 定期的に確認するのは大変なので,管理するドメインを登録(メール通知をSubscribe)しておくのが良さそうだ.

Attach file:
Front page   Edit Diff Backup Upload Copy Rename Reload   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom)
Counter: 2378, today: 1, yesterday: 3
Last-modified: 2020-05-27 (Wed) 23:14:00 (JST) (2183d) by nobuaki
Page aliases: None
Page owner: nobuaki
Site admin: administrator
広告スペース
Google