¿Cómo debo proteger los hosts unidos a un dominio en el mismo dominio de AD del Ataque de cookies de dominio relacionado ?
Supongamos que hay un bosque de AD llamado example.com
. Esta empresa tiene una variedad de aplicaciones web internas y externas:
- store.example.com (orientado al cliente)
- partnerPortal.example.com (interno / asociado)
- payroll.example.com (orientado internamente)
El bosque también tiene estaciones de trabajo en el mismo dominio workstation001.example.com
... etc.
Ya que esta respuesta describe lo fácil que es modificar las cookies , creo que esta es una oportunidad para un < a href="http://en.wikipedia.org/wiki/Confused_deputy_problem"> problema de agente confuso , donde la autoridad otorgada es el nombre DNS otorgado a la computadora.
¿Sería un riesgo de seguridad tener usuarios finales y servidores bajo el mismo dominio compartido? Tenga en cuenta que la mayoría de las implementaciones de AD se encuentran en una de estas configuraciones:
Forest/Domain Name External DNS Name Vulnerable to Related Domain Attack
Contoso.com Contoso.com Yes
AD.Contoso.com Contoso.com Yes
Contoso.Local Contoso.com No
¿Cuál es la mejor manera de mitigar esto?