التخفيف من عمليات الاستحواذ على المجال الفرعي في Azure App Service

  • مقالة

تعد عمليات الاستحواذ على المجال الفرعي تهديدا شائعا للمؤسسات التي تقوم بإنشاء العديد من الموارد وحذفها بانتظام. يمكن أن يحدث استيلاء على المجال الفرعي عندما يكون لديك سجل DNS يُشير إلى مورد Azure غير متوفر. تُعرف سجلات DNS هذه أيضاً باسم إدخالات "DNS المعلَّقة". تمكن عمليات الاستحواذ على المجال الفرعي الجهات الفاعلة الضارة من إعادة توجيه نسبة استخدام الشبكة المخصصة لمجال المؤسسة إلى موقع يقوم بنشاط ضار.

تتضمن مخاطر الاستيلاء على المجال الفرعي ما يلي:

  • فقدان التحكم في محتوى المجال الفرعي
  • حصاد ملفات تعريف الارتباط من الزوار غير المطمئنين
  • حملات التصيد
  • مزيد من المخاطر من الهجمات الكلاسيكية مثل XSS، CSRF، تجاوز CORS

تعرف على المزيد حول استيلاء المجال الفرعي في DNS المتدلية واستيلاء المجال الفرعي.

توفر Azure App Service خدمة حجز الاسم ورموز التحقق من المجال لمنع عمليات الاستيلاء على المجال الفرعي.

كيف تمنع App Service عمليات الاستحواذ على النطاق الفرعي

عند حذف تطبيق App Service أو App Service Environment (ASE)، يحظر إعادة الاستخدام الفوري ل DNS المقابل باستثناء الاشتراكات التي تنتمي إلى مستأجر الاشتراك الذي كان يملك DNS في الأصل. وبالتالي، يتم توفير بعض الوقت للعميل إما لتنظيف أي اقترانات/مؤشرات إلى DNS المذكور أو استعادة DNS في Azure عن طريق إعادة إنشاء المورد بنفس الاسم. يتم تمكين هذا السلوك بشكل افتراضي على Azure App Service لموارد "*.azurewebsites.net" و"*.appserviceenvironment.net"، لذلك لا يتطلب أي تكوين للعميل.

سيناريو مثال

الاشتراك 'A' والاشتراك 'B' هما الاشتراكان الوحيدان التان ينتميان إلى المستأجر 'AB'. يحتوي الاشتراك 'A' على تطبيق ويب App Service 'test' باسم DNS 'test'.azurewebsites.net'. عند حذف التطبيق، سيتمكن الاشتراك 'A' أو الاشتراك 'B' فقط من إعادة استخدام اسم DNS 'test.azurewebsites.net' على الفور عن طريق إنشاء تطبيق ويب يسمى 'test'. لن يسمح لأي اشتراكات أخرى بالمطالبة بالاسم مباشرة بعد حذف المورد.

كيف يمكنك منع عمليات الاستيلاء على المجال الفرعي

عند إنشاء إدخالات DNS لـ Azure App Service، أنشئ سجل asuid.{subdomain} TXT مع معرّف التحقق من المجال. عند وجود سجل TXT هذا، لا يمكن لأي اشتراك Azure آخر التحقق من صحة المجال المخصص أو الاستيلاء عليه ما لم يضيف معرف التحقق من الرمز المميز الخاص به إلى إدخالات DNS.

تمنع هذه السجلات إنشاء تطبيق App Service آخر باستخدام نفس الاسم من إدخال CNAME. بدون القدرة على إثبات ملكية اسم المجال، لا يمكن لمستخدمي التهديد تلقي نسبة استخدام الشبكة أو التحكم في المحتوى.

يجب تحديث سجلات DNS قبل حذف الموقع لضمان عدم قدرة الجهات الفاعلة السيئة على الاستيلاء على المجال بين فترة الحذف وإعادة الإنشاء.

للحصول على معرف التحقق من المجال، راجع البرنامج التعليمي تعيين مجال مخصص