Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le acquisizioni di sottodomini sono una minaccia comune per le organizzazioni che creano ed eliminano regolarmente molte risorse. Un'acquisizione di sottodominio può verificarsi quando è presente un record DNS che punta a una risorsa di Azure di cui è stato effettuato il deprovisioning. Tali record DNS sono noti anche come voci "DNS in sospeso". Le acquisizioni di sottodominio consentono agli attori malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.
I rischi di acquisizione del sottodominio includono:
- Perdita di controllo sul contenuto del sottodominio
- Raccolta di biscotti da visitatori insospettabili
- Campagne di phishing
- Ulteriori rischi derivanti da attacchi classici, come XSS, CSRF o elusione di CORS.
Per altre informazioni sull'acquisizione del sottodominio, vedere Impedire voci DNS incerte ed evitare l'acquisizione del sottodominio.
Servizio app di Azure fornisce token di prenotazione dei nomi e di verifica del dominio per impedire acquisizioni di sottodomini.
Come il servizio app impedisce le acquisizioni di sottodominio
Dopo l'eliminazione di un'app del servizio app o di un ambiente del servizio app (ASE), il DNS corrispondente non può essere riutilizzato, salvo per le sottoscrizioni che appartengono al tenant della sottoscrizione che originariamente possedeva il DNS. Di conseguenza, il cliente ha tempo per pulire le associazioni o i puntatori al DNS specificato o recuperare il DNS in Azure ricreando la risorsa con lo stesso nome. Questo comportamento è abilitato per impostazione predefinita nel servizio app di Azure per *.azurewebsites.net le risorse e *.appserviceenvironment.net , quindi non richiede alcuna configurazione del cliente.
Scenario di esempio
La sottoscrizione A e la sottoscrizione B sono le uniche sottoscrizioni che appartengono al tenant AB. Sottoscrizione A contiene un'app Web di Servizio app test con il nome DNS test.azurewebsites.net. Dopo l'eliminazione dell'app, solo le sottoscrizioni A o B possono riutilizzare immediatamente il nome test.azurewebsites.net DNS creando un'app Web denominata test. Nessun'altra sottoscrizione può rivendicare il nome immediatamente dopo l'eliminazione della risorsa.
Come evitare acquisizioni di sottodominio
Quando si creano voci DNS per il servizio app di Azure, creare un asuid.{ sottodominio} record TXT con l'ID di verifica del dominio. Quando esiste un record TXT di questo tipo, nessun'altra sottoscrizione di Azure può convalidare il dominio personalizzato o assumerla, a meno che non aggiungano il proprio ID di verifica del token alle voci DNS.
Questi record impediscono la creazione di un'altra app del servizio app usando lo stesso nome dalla voce CNAME. Senza la possibilità di dimostrare la proprietà del nome di dominio, gli attori delle minacce non possono ricevere traffico o controllare il contenuto.
I record DNS devono essere aggiornati prima dell'eliminazione del sito per garantire che gli attori malintenzionati non possano assumere il dominio tra il periodo di eliminazione e la ricreazione.
Per ottenere un ID di verifica del dominio, vedere Configurare un dominio personalizzato esistente nel servizio app di Azure.