购买GB 15的单字符域和3个字符的FQDN

2020-08-15 21:43:30

短域对于安全测试很有用。如果您的字符数有限,则需要能够用尽可能少的字符引用远程服务器上的代码。

几年前,我试图找到最小可行的XSS。我(和其他人)得出的结论是,20个字符是最低限度的。但它要求您在2个字符的TLD上有一个2个字符的域名。类似xy.uk的内容。

我不认为有1个或2个字符的域名可用。如果它们是出售的,价格会很高。没有少于2个字符的顶级域。

这是关于我如何买了一个字符域的故事,并且能够用3个字来引用它,花了一轮酒的钱。

正如我在“使用不寻常的Unicode字符的域黑客”一文中所讨论的那样,有一堆单一的Unicode代码点,它们被标准化为2个或3个字符的序列。

例如,㎐是赫兹的科学符号。它是单码点(U+3390)。当您的浏览器在域名中看到它时,它会自动将其拆分为H和Z字符。这就是所谓的分解。

根据我的统计,大约有90个符号可以分解成2个字符-例如™,㏄,dz。大约有35个符号可以分解成3个字符,例如㎪,㍹,ffi。

但是,正如前面提到的,几乎不可能找到便宜的2个或3个字母的域名。

罗马人没有使用位置数字系统。数字1是Ⅰ,数字2是Ⅱ,数字9是Ⅸ。

但是-仔细看!Ⅰ不是英文字母I-它是自己的独立UNICODE字符(U+2160)。而且Ⅱ不是两个Ⅰ挤在一起,而是(U+2161)。

数字8是Ⅷ(U+2167)-它分解为V I。四个字符!

但是,除了卫生、医疗、教育、葡萄酒、公共秩序、灌溉、道路、淡水系统、公共卫生,以及适合性格分解的数字系统之外,罗马人还为我们做过什么呢?

有许多顶级域也可以由单个字符表示。

例如,澳大利亚的TLD.au可以用天文单位符号㍳(U+3373)表示。

这些域名中的大多数都很昂贵,或者不可用。但是我找到了一个既便宜又有货的。

是!。fi的正字连字分解为f和i,这是芬兰的tld。

谢天谢地,只有使用受限字符计数才能保证安全的网站并不多!但是,缩小的域也可以用来规避各种过滤器。

还有另外一个4字符分解可用--看看你能不能找到它!有一些收缩的TLD仍然有一些2和3字符域可用,但它们的价格过高。

如果你真的拿了其中的一个,并用它做了一些很酷的事情,请告诉我。

如果你从我的博客帖子中学到了什么,下面是你如何回报我的帮助: