راه اندازی DNS ناامن
با مجموعهها، منظم بمانید
ذخیره و طبقهبندی محتوا براساس اولویتهای شما.
دسته OWASP: MASVS-NETWORK: Network Communication
نمای کلی
وقتی توسعهدهندگان رفتار انتقال DNS برنامه را سفارشی میکنند، پیشفرضهای دستگاه را دور میزنند، یا زمانی که کاربر یک سرور DNS خصوصی را در Android 9 و بالاتر مشخص میکند، ممکن است پیکربندیهای DNS ناامن رخ دهد. انحراف از پیکربندی های DNS خوب شناخته شده می تواند کاربران را در برابر حملاتی مانند DNS Spoofing یا DNS cache poisoning آسیب پذیر کند و به مهاجمان اجازه می دهد تا ترافیک کاربر را به سایت های مخرب هدایت کنند.
تاثیر
اگر یک مهاجم شبکه مخرب بتواند DNS را جعل کند، میتواند کاربر را به طور محتاطانه به وبسایتی که تحت کنترل خود است هدایت کند، بدون اینکه سوء ظن کاربر را برانگیزد. این وبسایت مخرب میتواند، برای مثال، کاربر را برای اطلاعات قابل شناسایی شخصی فیش کند، باعث انکار خدمات برای کاربر شود، یا کاربر را بدون اطلاع رسانی به وبسایتها هدایت کند.
خطر: امنیت حمل و نقل DNS آسیب پذیر
پیکربندیهای DNS سفارشی ممکن است به برنامهها اجازه دهند امنیت حمل و نقل داخلی Android را برای DNS در Android 9 و بالاتر دور بزنند.
کاهش
از سیستم عامل اندروید برای مدیریت ترافیک DNS استفاده کنید
به سیستم عامل Android اجازه دهید تا DNS را مدیریت کند. از سطح SDK 28، Android امنیت را به انتقال DNS از طریق DNS از طریق TLS و سپس DNS از طریق HTTP/3 در سطح SDK 30 اضافه کرده است.
از سطح SDK >=28 استفاده کنید
سطح SDK را به حداقل 28 بهروزرسانی کنید. لازم به ذکر است که این کاهش نیاز به ارتباط با سرورهای DNS عمومی شناخته شده و ایمن دارد که در اینجا میتوانید پیدا کنید.
منابع
محتوا و نمونه کدها در این صفحه مشمول پروانههای توصیفشده در پروانه محتوا هستند. جاوا و OpenJDK علامتهای تجاری یا علامتهای تجاری ثبتشده Oracle و/یا وابستههای آن هستند.
تاریخ آخرین بهروزرسانی 2025-07-29 بهوقت ساعت هماهنگ جهانی.
[null,null,["تاریخ آخرین بهروزرسانی 2025-07-29 بهوقت ساعت هماهنگ جهانی."],[],[],null,["# Insecure DNS Setup\n\n\u003cbr /\u003e\n\n**OWASP category:** [MASVS-NETWORK: Network Communication](https://mas.owasp.org/MASVS/08-MASVS-NETWORK)\n\nOverview\n--------\n\nInsecure DNS configurations can occur when developers customize an application's\nDNS transport behavior, bypass device defaults, or when a user specifies a\nprivate DNS server in Android 9 and later. Deviation from known good DNS\nconfigurations can leave users vulnerable to attacks like DNS Spoofing or DNS\ncache poisoning, allowing attackers to redirect user traffic to malicious sites.\n\nImpact\n------\n\nIf a malicious network attacker is able to spoof DNS, they can discreetly\nredirect the user to a website they control, without arousing the user's\nsuspicion. This malicious website could, for example, phish the user for\npersonally identifiable information, cause a denial of service for the user, or\nredirect the user to websites without notification.\n\nRisk: Vulnerable DNS Transport Security\n---------------------------------------\n\nCustom DNS configurations may allow apps to bypass Android's built-in transport\nsecurity for DNS in Android 9 and higher.\n\n### Mitigations\n\n#### Use the Android OS to handle DNS traffic\n\nAllow the Android OS to handle DNS. Since SDK level 28, Android has added\nsecurity to DNS transport through DNS over TLS, and then DNS over HTTP/3 in SDK\nlevel 30.\n\n#### Use SDK level \\\u003e=28\n\nUpdate SDK level to at least 28. It should be noted that this mitigation\nrequires communication with well-known and secure public DNS servers such as can\nbe found [here](https://dnsprivacy.org/public_resolvers/).\n\nResources\n---------\n\n- [Resolve DNS queries](/training/basics/network-ops/connecting#lookup-dns)\n- [Java reference for DnsResolver Class](/reference/android/net/DnsResolver)\n- [Android Security Blog post about DNS-over-HTTP/3](https://security.googleblog.com/2022/07/dns-over-http3-in-android.html)\n- [Overview of secure transport for DNS](https://developers.google.com/speed/public-dns/docs/secure-transports)\n- [Android Developer Blog post about DNS over TLS](https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html)"]]