Blog / Güvenlik / Subdomain Takeover Nedir? Sahipsiz Alt Alan Adı Ele Geçirme

Subdomain Takeover Nedir? Sahipsiz Alt Alan Adı Ele Geçirme

📅 Yayınlanma: 16 Haziran 2026

Şirketlerin DNS kayıtları zamanla birikir: bir blog için açılan blog.sirket.com, bir kampanya için kurulan promo.sirket.com, test amaçlı bir staging.sirket.com… Bu servisler kapatıldığında çoğu zaman DNS kaydı silinmeyi unutulur. İşte “subdomain takeover” tam da bu unutulmuş kayıtları hedefler.

Subdomain Takeover Nedir?

Subdomain takeover (alt alan adı ele geçirme), bir alt alan adının artık var olmayan bir üçüncü-taraf servise işaret etmesi durumunda, saldırganın o servisteki boş kaynağı kendi adına kaydederek alt alan adının kontrolünü ele geçirmesidir. Sonuç: blog.sirket.com adresinde artık saldırganın içeriği yayınlanır — üstelik kurbanın kendi alan adı ve çoğu zaman geçerli SSL sertifikasıyla.

Nasıl Oluşur? (Dangling DNS)

Tipik senaryo şöyle işler:

  1. Bir alt alan adı için CNAME kaydı oluşturulur: blog.sirket.com → sirket.github.io (GitHub Pages, Heroku, AWS S3, Azure, Netlify, Shopify vb.).
  2. Zamanla o servisteki kaynak (GitHub repo, Heroku app, S3 bucket…) silinir.
  3. Ancak CNAME kaydı DNS’te kalır — artık hiçbir yere bağlı olmayan, “dangling” (sarkan) bir kayıt.
  4. Saldırgan, aynı serviste o ismi (örn. sirket.github.io) yeniden kaydeder ve alt alan adı artık onun kontrolündedir.

Riskleri Ne?

  • İnandırıcı phishing: Kurbanın gerçek alan adı altında sahte giriş sayfaları barındırılır — kullanıcılar adres çubuğunda doğru markayı gördüğü için kolayca kanar.
  • Çerez/oturum çalma: Ana alan adıyla paylaşılan çerezler (.sirket.com kapsamlı) ele geçirilen alt alan adından okunabilir.
  • Marka ve itibar zararı: Markanız altında zararlı/uygunsuz içerik yayınlanabilir.
  • Geçerli SSL ile meşru görünüm: Saldırgan, ele geçirdiği alt alan adı için Let’s Encrypt’ten sertifika alıp HTTPS kilidini bile gösterebilir.

Nasıl Tespit Edilir?

Tespitin temeli, alt alan adlarının CNAME hedeflerini taramak ve bu hedeflerin “sahipsiz” sinyallerini aramaktır: CNAME bilinen bir servise işaret ediyor ama o kaynak NXDOMAIN dönüyor ya da servisin “burada içerik yok” parmak izini (ör. GitHub Pages için “There isn’t a GitHub Pages site here”) veriyorsa, o alt alan adı ele geçirmeye açıktır.

SecRadar Alt Alan Adı Bulucu bu denetimi otomatik yapar: pasif kaynaklardan (Certificate Transparency, AXFR vb.) alt alan adlarını keşfeder, her birinin CNAME’ini 18+ bilinen servise karşı kontrol eder ve “Subdomain Takeover Riski” bulgusunu güven seviyesiyle (dangling / fingerprint doğrulamalı) raporlar. Wildcard DNS’li alan adlarında sahte pozitifler elenir.

Nasıl Korunulur?

  • Kapatma sırasını tersine çevirin: Bir servisi kapatırken ÖNCE DNS kaydını silin, SONRA servisteki kaynağı kaldırın.
  • Sarkan kayıtları düzenli tarayın: Hiçbir kaynağa bağlı olmayan CNAME/A kayıtlarını DNS’inizden temizleyin.
  • Envanter tutun: Hangi alt alan adının hangi servise işaret ettiğini kayıt altında tutun.
  • Sürekli izleyin: Yeni alt alan adı oluştuğunda veya bir kayıt sarkmaya başladığında haberdar olun.

Saldırı Yüzeyinizi Görün

Alan adınızın alt alan adlarını ve takeover risklerini görmek için Alt Alan Adı Bulucu, DNS kayıtlarınızı incelemek için DNS Sorgulama, hangi alt alan adları için sertifika düzenlenmiş görmek için Sertifika Geçmişi (CT) araçlarımızı kullanabilirsiniz. Güvenilir DNS ve alan adı yönetimi için İHS Telekom alan adı hizmetlerini inceleyebilirsiniz.

Saldırı yüzeyinizi sürekli izleyin. SecRadar’a ücretsiz üye olun; yeni alt alan adı, DNS değişikliği ve SSL/güvenlik başlığı değişimlerinde Telegram veya e-posta ile otomatik uyarı alın.

Yorum yapın