Łagodzenie przejęcia poddomeny w Azure App Service

  • Artykuł

Przejęcia poddomeny są typowym zagrożeniem dla organizacji, które regularnie tworzą i usuwają wiele zasobów. Przejęcie poddomeny może wystąpić, gdy masz rekord DNS wskazujący na anulowaną aprowizowaną zasób platformy Azure. Takie rekordy DNS są również znane jako "zwisające wpisy DNS". Przejęcia poddomeny umożliwiają złośliwym podmiotom przekierowywanie ruchu przeznaczonego dla domeny organizacji do lokacji wykonującej złośliwe działania.

Ryzyko przejęcia poddomeny obejmuje:

  • Utrata kontroli nad zawartością poddomeny
  • Pliki cookie zbierające się od niespecyjnych odwiedzających
  • Kampanie wyłudzania informacji
  • Dalsze zagrożenia związane z atakami klasycznymi, takimi jak XSS, CSRF, obejście MECHANIZMU CORS

Dowiedz się więcej na temat przejęcia poddomeny w usłudze Dangling DNS i przejęciu poddomeny.

Azure App Service udostępnia tokeny weryfikacji nazwyusługi rezerwacji nazw i domeny, aby zapobiec przejęciu poddomeny.

Jak App Service zapobiega przejęciom poddomeny

Po usunięciu aplikacji App Service lub App Service Environment (ASE) natychmiastowe ponowne użycie odpowiedniego systemu DNS jest zabronione z wyjątkiem subskrypcji należących do dzierżawy subskrypcji, która pierwotnie należała do systemu DNS. W związku z tym klient może po pewnym czasie oczyścić wszystkie skojarzenia/wskaźniki do podanego systemu DNS lub odzyskać dns na platformie Azure, tworząc ponownie zasób o tej samej nazwie. To zachowanie jest domyślnie włączone w Azure App Service dla zasobów "*.azurewebsites.net" i "*.appserviceenvironment.net", więc nie wymaga żadnej konfiguracji klienta.

Przykładowy scenariusz

Subskrypcja "A" i subskrypcja "B" to jedyne subskrypcje należące do dzierżawy "AB". Subskrypcja "A" zawiera aplikację internetową App Service "test" o nazwie DNS "test".azurewebsites.net". Po usunięciu aplikacji tylko subskrypcja "A" lub subskrypcja "B" będzie mogła natychmiast ponownie użyć nazwy DNS "test.azurewebsites.net", tworząc aplikację internetową o nazwie "test". Żadne inne subskrypcje nie będą mogły ubiegać się o nazwę bezpośrednio po usunięciu zasobu.

Jak można zapobiec przejęciu poddomeny

Podczas tworzenia wpisów DNS dla Azure App Service utwórz identyfikator asuid.{ rekord TXT poddomeny} z identyfikatorem weryfikacji domeny. Jeśli taki rekord TXT istnieje, żadna inna subskrypcja platformy Azure nie może zweryfikować Custom Domain lub przejąć go, chyba że doda identyfikator weryfikacji tokenu do wpisów DNS.

Te rekordy uniemożliwiają utworzenie innej aplikacji App Service przy użyciu tej samej nazwy z wpisu CNAME. Bez możliwości udowodnienia własności nazwy domeny aktorzy zagrożeń nie mogą odbierać ruchu ani kontrolować zawartości.

Rekordy DNS należy zaktualizować przed usunięciem lokacji, aby zapewnić, że nie można przejąć domeny między okresem usunięcia i ponownym utworzeniem.

Aby uzyskać identyfikator weryfikacji domeny, zobacz samouczek Mapuj domenę niestandardową