Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Alt etki alanı devralmaları, birçok kaynağı düzenli olarak oluşturan ve silip alan kuruluşlar için yaygın bir tehdittir. Sağlaması kaldırılmış bir Azure kaynağına işaret eden bir DNS kaydınız olduğunda alt etki alanı devralma işlemi gerçekleşebilir. Bu tür DNS kayıtları "askıda kalan DNS" girişleri olarak da bilinir. Alt etki alanı devralmalar, kötü amaçlı aktörlerin bir kuruluşun etki alanına yönelik trafiği kötü amaçlı etkinlik gerçekleştiren bir siteye yönlendirmesine olanak tanır.
Alt alan adı devralma riskleri şunlardır:
- Alt etki alanının içeriği üzerinde denetim kaybı
- Farkında olmayan ziyaretçilerden kurabiye toplama
- Kimlik avı kampanyaları
- XSS, CSRF, CORS atlama gibi klasik saldırıların diğer riskleri
Alt Etki Alanı Devralma hakkında daha fazla bilgi için bkz. Sallanma DNS ve alt etki alanı devralma.
Azure App Service, alt etki alanı devralmalarını önlemek için Ad Ayırma Hizmeti ve etki alanı doğrulama belirteçleri sağlar.
App Service alt alan adı devralmalarını nasıl engeller?
App Service uygulaması veya App Service Ortamı (ASE) silindikten sonra, ilk olarak DNS'ye sahip olan aboneliğin kiracısına ait abonelikler dışında ilgili DNS'nin hemen yeniden kullanılması yasaktır. Bu nedenle, müşteriye söz konusu DNS ile ilgili tüm ilişkilendirmeleri/göstergeleri temizlemek ya da kaynağı aynı ada sahip olarak yeniden oluşturarak Azure’daki DNS’yi yeniden edinmek için biraz zaman tanınır. Bu davranış Azure App Service'te varsayılan olarak "*.azurewebsites.net" ve "*.appserviceenvironment.net" kaynakları için etkinleştirildiğinden müşteri yapılandırması gerektirmez.
Örnek senaryo
'A' aboneliği ve 'B' aboneliği, 'AB' kiracısına ait olan tek aboneliktir. 'A' aboneliği, DNS adı 'test'.azurewebsites.net' olan bir App Service web uygulaması 'test' içerir. Uygulama silindikten sonra yalnızca 'A' aboneliği veya 'B' aboneliği 'test' adlı bir web uygulaması oluşturarak 'test.azurewebsites.net' DNS adını hemen yeniden kullanabilir. Kaynak silindikten hemen sonra başka hiçbir aboneliğin adı talep etmelerine izin verilmez.
Alt etki alanı devralmalarını nasıl önleyebilirsiniz?
Azure Uygulama Hizmeti için DNS girdileri oluştururken, Etki Alanı Doğrulama Kimliği ile asuid.{subdomain} şeklinde bir TXT kaydı oluşturun. Böyle bir TXT kaydı mevcut olduğunda, DNS girişlerine belirteç doğrulama kimliğini eklemedikleri sürece başka hiçbir Azure Aboneliği Özel Etki Alanını doğrulayamaz veya devralamaz.
Bu kayıtlar, CNAME girdinizden aynı adı kullanarak başka bir App Service uygulamasının oluşturulmasını engeller. Etki alanı adının sahipliğini kanıtlama özelliği olmadan tehdit aktörleri trafiği alamaz veya içeriği denetleyemez.
Dns kayıtları, kötü aktörlerin silme ve yeniden oluşturma süresi arasında etki alanını ele geçirememelerini sağlamak için site silme işleminden önce güncelleştirilmelidir.
Etki alanı doğrulama kimliğini almak için Özel etki alanı eşleme öğreticisine bakın