Minimera underdomänövertaganden i Azure App Service
Övertaganden av underdomäner är ett vanligt hot för organisationer som regelbundet skapar och tar bort många resurser. Ett övertagande av underdomäner kan ske när du har en DNS-post som pekar på en avetablerade Azure-resurs. Sådana DNS-poster kallas även "dinglande DNS"-poster. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet.
Riskerna med övertagande av underdomäner omfattar:
- Förlust av kontroll över innehållet i underdomänen
- Cookieskörd från intet ont anande besökare
- Nätfiskekampanjer
- Ytterligare risker med klassiska attacker som XSS, CSRF, CORS bypass
Läs mer om underdomänövertagande på Dangling DNS och underdomänövertagande.
Azure App Service tillhandahåller namnreservationstjänsten och domänverifieringstoken för att förhindra övertaganden av underdomäner.
Så här förhindrar App Service underdomänövertaganden
Vid borttagning av en App Service app eller App Service-miljön (ASE) är omedelbar återanvändning av motsvarande DNS förbjuden förutom för prenumerationer som tillhör klientorganisationen för den prenumeration som ursprungligen ägde DNS. Därför har kunden en viss tid på sig att antingen rensa eventuella associationer/pekare till den nämnda DNS:en eller frigöra DNS i Azure genom att återskapa resursen med samma namn. Det här beteendet är aktiverat som standard på Azure App Service för "*.azurewebsites.net" och "*.appserviceenvironment.net"-resurser, så det kräver ingen kundkonfiguration.
Exempel på ett scenario
Prenumerationen "A" och prenumerationen "B" är de enda prenumerationerna som tillhör klientorganisationenS AB. Prenumerationen "A" innehåller en App Service webbappen "test" med DNS-namnet "test".azurewebsites.net". Vid borttagning av appen kan endast prenumerationen "A" eller prenumerationen "B" omedelbart återanvända DNS-namnet "test.azurewebsites.net" genom att skapa en webbapp med namnet "test". Inga andra prenumerationer kommer att kunna begära namnet direkt efter resursborttagningen.
Hur du kan förhindra övertaganden av underdomäner
När du skapar DNS-poster för Azure App Service skapar du en asuid.{ underdomän} TXT-post med domänverifierings-ID: t. När det finns en sådan TXT-post kan ingen annan Azure-prenumeration verifiera Custom Domain eller ta över den om de inte lägger till sitt tokenverifierings-ID i DNS-posterna.
Dessa poster förhindrar att en annan App Service app skapas med samma namn från CNAME-posten. Utan möjligheten att bevisa ägarskapet för domännamnet kan hotaktörer inte ta emot trafik eller kontrollera innehållet.
DNS-poster bör uppdateras innan webbplatsen tas bort för att säkerställa att dåliga aktörer inte kan ta över domänen mellan borttagningen och återskapandet.
Information om hur du hämtar ett domänverifierings-ID finns i självstudien Mappa en anpassad domän