Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Unterdomänenübernahmen sind eine häufige Bedrohung für Organisationen, die regelmäßig viele Ressourcen erstellen und löschen. Eine Unterdomänenübernahme kann auftreten, wenn Sie über einen DNS-Eintrag verfügen, der auf eine nicht bereitgestellte Azure-Ressource verweist. Solche DNS-Einträge werden auch als "dangling DNS"-Einträge bezeichnet. Unterdomänenübernahmen ermöglichen böswilligen Akteuren das Umleiten von Datenverkehr, der für die Domäne einer Organisation vorgesehen ist, auf eine Website, die schädliche Aktivitäten ausführt.
Zu den Risiken der Subdomänenübernahme gehören:
- Verlust der Kontrolle über den Inhalt der Unterdomäne
- Cookie-Ernte von nichts ahnenden Besuchern
- Phishingkampagnen
- Weitere Risiken klassischer Angriffe wie XSS, CSRF oder CORS Bypass
Weitere Informationen zur Übernahme von Unterdomänen finden Sie unter Verhindern von abhängigen DNS-Einträgen und Vermeidung der Übernahme von Unterdomänen.
Azure App Service bietet Namensreservierungs- und Domänenüberprüfungstoken, um Unterdomänenübernahmen zu verhindern.
Wie App Service Unterdomänenübernahmen verhindert
Nach dem Löschen einer App Service App oder App Service Environment (ASE) darf der entsprechende DNS nicht mehr verwendet werden, außer von Abonnements, die zu dem Mandanten des Abonnements gehören, dem der DNS ursprünglich gehörte. Daher hat der Kunde einige Zeit, um entweder Zuordnungen oder Zeiger auf die angegebene DNS zu bereinigen oder die DNS in Azure zurückzufordern, indem er die Ressource mit demselben Namen neu erstellt. Dieses Verhalten ist standardmäßig für Azure App Service für *.azurewebsites.net und *.appserviceenvironment.net Ressourcen aktiviert, sodass keine Kundenkonfiguration erforderlich ist.
Beispielszenario
Abonnement A und Abonnement B sind die einzigen Abonnements, die zu Mandant AB gehören. Abonnement A enthält eine App Service-Web-App test mit dem DNS-Namen test.azurewebsites.net. Beim Löschen der App können nur Abonnements A oder B den DNS-Namen test.azurewebsites.net sofort wiederverwenden, indem eine Web-App namens Test erstellt wird. Es dürfen keine anderen Abonnements direkt nach dem Löschen der Ressource den Namen beanspruchen.
Wie Sie Subdomänenübernahmen verhindern können
Erstellen Sie beim Erstellen von DNS-Einträgen für Azure App Service eine asuid.{ subdomain} TXT-Eintrag mit der Domänenüberprüfungs-ID. Wenn ein solcher TXT-Eintrag vorhanden ist, kann kein anderes Azure-Abonnement die benutzerdefinierte Domäne überprüfen oder übernehmen, es sei denn, sie fügen der DNS-Einträge ihre Tokenüberprüfungs-ID hinzu.
Diese Datensätze verhindern die Erstellung einer anderen App Service-App mit demselben Namen aus Ihrem CNAME-Eintrag. Ohne die Möglichkeit, den Besitz des Domänennamens zu beweisen, können Bedrohungsakteure keinen Datenverkehr empfangen oder den Inhalt steuern.
DNS-Einträge sollten vor dem Löschen der Website aktualisiert werden, um sicherzustellen, dass schlechte Akteure die Domäne zwischen dem Löschzeitraum und der erneuten Erstellung nicht übernehmen können.
Informationen zum Abrufen einer Domänenüberprüfungs-ID finden Sie unter Einrichten einer vorhandenen benutzerdefinierten Domäne in Azure App Service.