DNS ダングリングレコード

medium Web App Scanning プラグイン ID 114572

Language:

概要

DNS ダングリングレコード

説明

多くの場合、ウェブアプリケーションをデプロイするには、開発者やシステム管理者がサードパーティのサービスを指すように DNS レコードを設定する必要があります。最も一般的なシナリオとして、正規名レコード (CNAME) を設定したり、特定のネームサーバーレコード (NS) を宣言して特定の DNS ゾーン管理を委任したりします。DNS ダングリングレコードが存在するのは、すでに存在しない外部サービスをターゲットにしているからです。これが直接悪用可能な場合、リモートの認証されていない攻撃者が DNS 乗っ取りを実行できます。

プラグインは現在次のサービスをサポートしています。- Gitbook - Hubspot - Intercom - JazzHR - Kinsta - Lemlist - Netlify - Smugsmug - Teamwork - Tilda - UserVoice

ソリューション

最初のステップとして、DNS ゾーンから DNS レコードを削除します。ターゲットが、問題をサブドメイン乗っ取りに直接エスカレートすることを直接許可しない場合でも、組織の管理外の外部サービスをターゲットとするレコードを持つことは良い手法ではありません。このサードパーティの展開によっては、このような問題が発生する可能性があります。ウェブアプリケーションのプロビジョニングプロセスを確認し、ターゲットサービスが想定通りに稼働している場合にのみ DNS レコードが作成されるようにします。サービスのプロビジョニングを解除する場合は、サードパーティのサービスでサービスを非アクティブ化する前に、まず DNS レコードを削除します。