Устранение поглощений поддоменов в Служба приложений Azure
Переключение поддомена — это распространенная угроза для организаций, которые регулярно создают и удаляют множество ресурсов. Захват поддомена может произойти в том случае, если у вас присутствует запись DNS, указывающая на отозванный ресурс Azure. Такие записи DNS называются недействительными. Перенаправление поддомена позволяет вредоносным субъектам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия.
Ниже представлены риски, связанные с поглощением поддомена.
- Потеря контроля над содержимым поддомена
- Сбор печенья от подозревающих посетителей
- Фишинговые кампании
- Дополнительные риски классических атак, таких как XSS, CSRF, обход CORS
Дополнительные сведения о поглощении поддомена см. в статье Переключение DNS и поддомена.
Служба приложений Azure предоставляет службу резервирования имен и маркеры проверки домена для предотвращения переключений поддоменов.
Как Служба приложений предотвращает захват поддомена
При удалении приложения Служба приложений или Среда службы приложений (ASE) немедленное повторное использование соответствующей службы DNS запрещено, за исключением подписок, принадлежащих клиенту подписки, которая изначально принадлежала DNS. Таким образом, клиенту предоставляется некоторое время для очистки любых связей или указателей на указанную dns-службу или восстановления DNS в Azure путем повторного создания ресурса с тем же именем. Это поведение включено по умолчанию в Служба приложений Azure для ресурсов "*.azurewebsites.net" и "*.appserviceenvironment.net", поэтому не требует настройки клиента.
Пример сценария
Подписка "A" и подписка "B" являются единственными подписками, принадлежащими клиенту AB. Подписка A содержит Служба приложений веб-приложение test с DNS-именем test.azurewebsites.net. После удаления приложения только подписка "A" или подписка "B" смогут немедленно повторно использовать DNS-имя "test.azurewebsites.net", создав веб-приложение с именем test. Никаким другим подпискам не будет разрешено запрашивать имя сразу после удаления ресурса.
Как предотвратить поглощение поддоменов
При создании записей DNS для Службы приложений Azure создайте запись asuid.{subdomain} TXT с идентификатором проверки домена. Если такая запись TXT существует, другая подписка Azure не может проверить Custom Domain или принять ее, если они не добавят свой идентификатор проверки маркера в записи DNS.
Эти записи препятствуют созданию другого приложения Служба приложений с тем же именем из записи CNAME. Без возможности подтвердить право собственности на доменное имя злоумышленники не смогут получать трафик или контролировать содержимое.
Записи DNS следует обновить до удаления сайта, чтобы злоумышленники не могли взять на себя домен между периодом удаления и повторного создания.
Чтобы получить идентификатор проверки домена, ознакомьтесь с руководством по сопоставлению личного домена.