"El atacante registra un dominio (como attacker.com) y lo delega a un servidor DNS que controla. El servidor está configurado para responder con un registro de tiempo de vida muy corto (TTL), lo que evita que la respuesta se almacene en caché. Cuando la víctima navega hacia el dominio malicioso, el servidor DNS del atacante primero responde con la dirección IP de un servidor que aloja el código malicioso del lado del cliente.
El código del lado del cliente malicioso hace accesos adicionales al nombre de dominio original (como attacker.com). Estos están permitidos por la política del mismo origen. Sin embargo, cuando el navegador de la víctima ejecuta el script, realiza una nueva solicitud de DNS para el dominio, y el atacante responde con una nueva dirección IP. Por ejemplo, podría responder con una dirección IP interna o la dirección IP de un objetivo en otro lugar de Internet ".
Simplificando:
- La víctima entra en evil.com
- evil.com responde con X.X.X.X (IP del servidor malicioso)
- X.X.X.X carga un script malicioso
- Los scripts maliciosos hacen solicitudes a evil.com (mismo dominio)
- Pero ahora evil.com responde con 201.82.108.103 (IP de Google)
Ataque hecho!
El script malicioso ahora puede realizar solicitudes a Google (pseudo secuencias de comandos entre sitios), ya que, en teoría, no está violando la política del mismo origen. Está accediendo a Google, pero utiliza evil.com como dominio, y se cargó en evil.com, por lo que el navegador no puede ver ningún problema con las solicitudes.