Azure App Service'da alt etki alanı devralma işlemlerini azaltma

  • Makale

Alt etki alanı devralma işlemleri, düzenli olarak birçok kaynak oluşturan ve silecek kuruluşlar için yaygın bir tehdittir. Sağlaması kaldırılmış bir Azure kaynağına işaret eden bir DNS kaydınız olduğunda alt etki alanı devralma işlemi gerçekleşebilir. Bu tür DNS kayıtları "sallama DNS" girişleri olarak da bilinir. Alt etki alanı devralma işlemleri, kötü amaçlı aktörlerin kuruluşun etki alanına yönelik trafiği kötü amaçlı etkinlik gerçekleştiren bir siteye yönlendirmesine olanak tanır.

Alt etki alanı devralma riski şunlardır:

  • Alt etki alanının içeriği üzerinde denetim kaybı
  • Farkında olmayan ziyaretçilerden kurabiye toplama
  • Kimlik avı kampanyaları
  • XSS, CSRF, CORS atlama gibi klasik saldırıların diğer riskleri

Alt Etki Alanı Devralma hakkında daha fazla bilgi için bkz. Dangling DNS ve alt etki alanı devralma.

Azure App Service, alt etki alanı devralmalarını önlemek için Ad Ayırma Hizmeti ve etki alanı doğrulama belirteçleri sağlar.

App Service alt etki alanı devralmalarını nasıl önler?

bir App Service uygulaması veya App Service Ortamı (ASE) silindikten sonra, ilk olarak DNS'ye sahip olan aboneliğin kiracısına ait abonelikler dışında ilgili DNS'nin hemen yeniden kullanılması yasaktır. Bu nedenle, müşterinin söz konusu DNS ile ilgili tüm ilişkilendirmeleri/işaretçileri temizlemesi veya kaynağı aynı adla yeniden oluşturarak Azure'da DNS'yi geri kazanması için biraz zaman alır. Bu davranış, "*.azurewebsites.net" ve "*.appserviceenvironment.net" kaynakları için Azure App Service varsayılan olarak etkindir, bu nedenle müşteri yapılandırması gerektirmez.

Örnek senaryo

'A' aboneliği ve 'B' aboneliği yalnızca 'AB' kiracısına ait aboneliklerdir. 'A' aboneliği, DNS adı 'test'.azurewebsites.net' olan bir App Service web uygulaması 'test' içerir. Uygulama silindikten sonra yalnızca 'A' aboneliği veya 'B' aboneliği 'test' adlı bir web uygulaması oluşturarak 'test.azurewebsites.net' DNS adını hemen yeniden kullanabilir. Kaynak silindikten hemen sonra başka hiçbir aboneliğin adı talep etmelerine izin verilmez.

Alt etki alanı devralmalarını nasıl önleyebilirsiniz?

Azure App Service için DNS girişleri oluştururken bir asuid oluşturun.{ etki alanı doğrulama kimliğine sahip subdomain} TXT kaydı. Böyle bir TXT kaydı mevcut olduğunda, dns girişlerine belirteç doğrulama kimliğini eklemedikleri sürece başka hiçbir Azure Aboneliği Custom Domain doğrulayabilir veya bu kaydı devralabilir.

Bu kayıtlar, CNAME girdinizden aynı adı kullanarak başka bir App Service uygulaması oluşturulmasını engeller. Tehdit aktörleri, etki alanı adının sahipliğini kanıtlama özelliği olmadan trafiği alamaz veya içeriği denetleyemez.

Kötü aktörlerin, silme ve yeniden oluşturma süresi arasında etki alanını ele geçirememesini sağlamak için, site silme işleminden önce DNS kayıtları güncelleştirilmelidir.

Etki alanı doğrulama kimliğini almak için Bkz. Özel etki alanı eşleme öğreticisi