Zmírnění rizik převzetí subdomény v Azure App Service

Převzetí subdomény je běžnou hrozbou pro organizace, které pravidelně vytvářejí a odstraňují mnoho prostředků. K převzetí subdomény může dojít, pokud máte záznam DNS, který odkazuje na zrušený prostředek Azure. Tyto záznamy DNS se také označují jako položky "dangling DNS". Převzetí subdomény umožňuje škodlivým účastníkům přesměrovat provoz určený pro doménu organizace na web, který provádí škodlivou aktivitu.

Mezi rizika převzetí subdomény patří:

  • Ztráta kontroly nad obsahem subdomény
  • Sběr sušenek od nic netušících návštěvníků
  • Phishingové kampaně
  • Další rizika klasických útoků, jako jsou XSS, CSRF, CORS bypass

Další informace o převzetí subdomény najdete v tématu Dangling DNS a převzetí subdomény.

Azure App Service poskytuje službu Name Reservation Service a ověřovací tokeny domény, aby se zabránilo převzetí subdomény.

Jak App Service brání převzetí subdomény

Při odstranění aplikace App Service nebo App Service Environment (ASE) je okamžité opakované použití odpovídajícího DNS zakázáno s výjimkou předplatných patřících tenantovi předplatného, který původně vlastnil DNS. Proto má zákazník dostatek času buď vyčistit všechna přidružení nebo ukazatele na uvedený DNS, nebo uvolnit DNS v Azure tím, že znovu vytvoří prostředek se stejným názvem. Toto chování je ve výchozím nastavení povolené na Azure App Service pro prostředky *.azurewebsites.net a *.appserviceenvironment.net, takže nevyžaduje žádnou konfiguraci zákazníka.

Příklad scénáře

Předplatné A a předplatné B jsou jedinými předplatnými patřícími do tenanta AB. Předplatné A obsahuje App Service webovou aplikaci test s názvem DNS test.azurewebsites.net. Po odstranění aplikace bude možné název DNS "test.azurewebsites.net" okamžitě znovu použít pouze předplatné A nebo předplatné B tím, že vytvoří webovou aplikaci s názvem test. Žádná jiná předplatná si nebudou moct nárokovat název hned po odstranění prostředku.

Jak zabránit převzetí subdomény

Při vytváření záznamů DNS pro Azure App Service vytvořte asuid.{ subdomain} TXT záznam s ID ověření domény. Pokud takový záznam TXT existuje, žádné jiné předplatné Azure nemůže ověřit Custom Domain nebo ho převzít, pokud do záznamů DNS nepřidá id ověření tokenu.

Tyto záznamy brání vytvoření jiné aplikace App Service používající stejný název jako záznam CNAME. Bez možnosti prokázat vlastnictví názvu domény nemůžou aktéři hrozeb přijímat provoz ani kontrolovat obsah.

Záznamy DNS by se měly před odstraněním lokality aktualizovat, aby se zajistilo, že chybní aktéři nebudou moct převzít doménu mezi obdobím odstranění a opětovného vytvoření.

Pokud chcete získat ID ověření domény, projděte si kurz Mapování vlastní domény.