DNS 懸置記錄

medium Web App Scanning Plugin ID 114572

語言:

概要

DNS 懸置記錄

說明

部署 Web 應用程式時，通常需要開發人員或系統管理員將 DNS 記錄設定為以第三方服務為目標。最常見的情況包括設定正式名稱記錄 (CNAME)，或宣告特定名稱伺服器記錄 (NS) 以委派特定 DNS 區域管理。存在 DNS 懸置記錄，原因是目標外部服務已不存在。未經驗證的遠端攻擊者可直接刺探利用此弱點來執行 DNS 接管攻擊。

外掛程式目前支援下列服務：- Gitbook - Hubspot - Intercom - JazzHR - Kinsta - Lemlist - Netlify - Smugsmug - Teamwork - Tilda - UserVoice

解決方案

第一步，從 DNS 區域中移除 DNS 記錄。即使目標服務不允許直接將問題升級為子網域接管，擁有以不受組織控制的外部服務為目標的記錄仍不是好做法，而且可能會導致此類問題，端視此第三方的發展方式而定。檢閱 Web 應用程式佈建處理程序，確保只有在目標服務已按預期啟動並執行時，才會建立 DNS 記錄。取消佈建服務時，請先移除 DNS 記錄，然後再停用第三方服務上的服務。