Az altartomány-átvételek mérséklése a Azure App Service

  • Cikk

Az altartomány-átvételek gyakori fenyegetést jelentenek az olyan szervezetek számára, amelyek rendszeresen hoznak létre és törölnek számos erőforrást. Altartomány-átvétel akkor fordulhat elő, ha olyan DNS-rekordja van, amely egy leépült Azure-erőforrásra mutat. Az ilyen DNS-rekordokat "dangling DNS" bejegyzésnek is nevezik. Az altartomány-átvételek lehetővé teszik a rosszindulatú szereplők számára, hogy átirányítsák a szervezet tartományához szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre.

Az altartományok átvételének kockázatai a következők:

  • Az altartomány tartalmának vezérlésének elvesztése
  • Cookie-betakarítás gyanútlan látogatóktól
  • Adathalászati kampányok
  • A klasszikus támadások további kockázatai, mint például az XSS, a CSRF és a CORS megkerülése

További információ az altartományok átvételéről a Dangling DNS és az altartomány átvétele című témakörben.

Azure App Service névfoglalási szolgáltatást és tartomány-ellenőrzési jogkivonatokat biztosít az altartományok átvételének megakadályozásához.

Hogyan akadályozza meg App Service az altartományok átvételét?

Egy App Service alkalmazás vagy App Service Environment (ASE) törlésekor a megfelelő DNS azonnali újrafelhasználása tilos, kivéve azokat az előfizetéseket, amelyek eredetileg a DNS-t birtokolták. Így az ügyfélnek egy kis ideje van arra, hogy megtisztítson minden társítást/mutatót az említett DNS-hez, vagy visszanyerje a DNS-t az Azure-ban az erőforrás ugyanazzal a névvel történő újbóli létrehozása révén. Ez a viselkedés alapértelmezés szerint engedélyezve van a "*.azurewebsites.net" és a "*.appserviceenvironment.net" erőforrások Azure App Service, így nincs szükség ügyfélkonfigurációra.

Példaforgatókönyv

Az "A" előfizetés és a B előfizetés az "AB" bérlőhöz tartozó egyetlen előfizetés. Az "A" előfizetés egy "test".azurewebsites.net DNS-névvel rendelkező "test" App Service webalkalmazást tartalmaz. Az alkalmazás törlésekor csak az "A" vagy a "B" előfizetés fogja tudni azonnal újra felhasználni a "test.azurewebsites.net" DNS-nevet egy "test" nevű webalkalmazás létrehozásával. Más előfizetések nem igényelhetik a nevet közvetlenül az erőforrás törlése után.

Az altartományok átvételének megakadályozása

Amikor DNS-bejegyzéseket hoz létre Azure App Service, hozzon létre egy asuidot.{ subdomain} TXT rekord tartomány-ellenőrzési azonosítóval. Ha ilyen TXT rekord létezik, egyetlen másik Azure-előfizetés sem tudja érvényesíteni a Custom Domain, vagy átveheti azt, kivéve, ha hozzáadják a jogkivonat-ellenőrzési azonosítójukat a DNS-bejegyzésekhez.

Ezek a rekordok megakadályozzák egy másik App Service alkalmazás létrehozását, amely ugyanazt a nevet használja a CNAME bejegyzésből. A tartománynév tulajdonjogának bizonyítása nélkül a fenyegetést jelentő szereplők nem fogadhatják a forgalmat, és nem irányíthatják a tartalmat.

A DNS-rekordokat frissíteni kell a webhely törlése előtt, hogy a hibás szereplők ne tudják átvenni a tartományt a törlés és az újralétrehozás időszaka között.

A tartomány-ellenőrzési azonosító lekéréséhez tekintse meg az Egyéni tartomány leképezése oktatóanyagot