HackTricks CloudCloudflare Domains
Reading time: 5 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
In jeder in Cloudflare konfigurierten TLD gibt es einige allgemeine Einstellungen und Dienste, die konfiguriert werden können. Auf dieser Seite werden wir die sicherheitsrelevanten Einstellungen jeder Sektion analysieren:
.png)
Übersicht
- Ein Gefühl dafür bekommen, wie viel die Dienste des Kontos genutzt werden
- Finde auch die Zone-ID und die Kontonummer
Analytik
-
In
Sicherheitüberprüfen, ob es eine Ratenbegrenzung gibt
DNS
- Überprüfen Sie interessante (sensible?) Daten in den DNS-Einträgen
- Überprüfen Sie auf Subdomains, die sensible Informationen nur basierend auf dem Namen enthalten könnten (wie admin173865324.domin.com)
- Überprüfen Sie auf Webseiten, die nicht proxied sind
- Überprüfen Sie auf proxifizierte Webseiten, die direkt über CNAME oder IP-Adresse zugänglich sind
- Überprüfen Sie, dass DNSSEC aktiviert ist
- Überprüfen Sie, dass CNAME Flattening in allen CNAMEs verwendet wird
- Dies könnte nützlich sein, um Subdomain-Übernahmeanfälligkeiten zu verbergen und die Ladezeiten zu verbessern
- Überprüfen Sie, dass die Domains nicht anfällig für Spoofing sind
TODO
Spectrum
TODO
SSL/TLS
Übersicht
- Die SSL/TLS-Verschlüsselung sollte Voll oder Voll (Streng) sein. Jede andere wird zu einem bestimmten Zeitpunkt Klartextverkehr senden.
- Der SSL/TLS-Empfehlungsdienst sollte aktiviert sein
Edge-Zertifikate
- Immer HTTPS verwenden sollte aktiviert sein
- HTTP Strict Transport Security (HSTS) sollte aktiviert sein
- Minimale TLS-Version sollte 1.2 sein
- TLS 1.3 sollte aktiviert sein
- Automatische HTTPS-Umschreibungen sollten aktiviert sein
- Zertifikatstransparenzüberwachung sollte aktiviert sein
Sicherheit
-
Im Abschnitt
WAFist es interessant zu überprüfen, ob Firewall- und Ratenbegrenzungsregeln verwendet werden, um Missbrauch zu verhindern. - Die
Bypass-Aktion wird die Cloudflare-Sicherheits-Funktionen für eine Anfrage deaktivieren. Sie sollte nicht verwendet werden. -
Im Abschnitt
Page Shieldwird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine Seite verwendet wird -
Im Abschnitt
API Shieldwird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine API in Cloudflare exponiert ist -
Im Abschnitt
DDoSwird empfohlen, die DDoS-Schutzmaßnahmen zu aktivieren -
Im Abschnitt
Einstellungen: -
Überprüfen Sie, dass das
Sicherheitsniveaumittel oder höher ist -
Überprüfen Sie, dass die
Challenge Passagemaximal 1 Stunde beträgt -
Überprüfen Sie, dass die
Browser-Integritätsprüfungaktiviert ist -
Überprüfen Sie, dass die
Privacy Pass Supportaktiviert ist
CloudFlare DDoS-Schutz
- Wenn möglich, aktivieren Sie den Bot Fight Mode oder den Super Bot Fight Mode. Wenn Sie eine API schützen, die programmgesteuert (z. B. von einer JS-Frontend-Seite) aufgerufen wird. Möglicherweise können Sie dies nicht aktivieren, ohne den Zugriff zu beeinträchtigen.
- In WAF: Sie können Ratenlimits nach URL-Pfad oder für verifizierte Bots (Ratenbegrenzungsregeln) erstellen oder den Zugriff basierend auf IP, Cookie, Referrer... blockieren. So könnten Sie Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben.
- Wenn der Angriff von einem verifizierten Bot kommt, fügen Sie mindestens ein Ratenlimit für Bots hinzu.
- Wenn der Angriff auf einen bestimmten Pfad abzielt, fügen Sie als Präventionsmechanismus ein Ratenlimit in diesem Pfad hinzu.
- Sie können auch IP-Adressen, IP-Bereiche, Länder oder ASNs aus den Tools in WAF whitelisten.
- Überprüfen Sie, ob verwaltete Regeln auch helfen könnten, um die Ausnutzung von Schwachstellen zu verhindern.
- Im Abschnitt Tools können Sie bestimmte IPs und Benutzeragenten blockieren oder eine Herausforderung stellen.
- In DDoS könnten Sie einige Regeln überschreiben, um sie restriktiver zu machen.
- Einstellungen: Setzen Sie das Sicherheitsniveau auf Hoch und auf Unter Angriff, wenn Sie unter Angriff stehen und die Browser-Integritätsprüfung aktiviert ist.
- In Cloudflare Domains -> Analytik -> Sicherheit -> Überprüfen Sie, ob die Ratenbegrenzung aktiviert ist
- In Cloudflare Domains -> Sicherheit -> Ereignisse -> Überprüfen Sie auf erfasste bösartige Ereignisse
Zugriff
Geschwindigkeit
Ich konnte keine Option finden, die mit Sicherheit zu tun hat
Caching
-
Im Abschnitt
Konfigurationsollten Sie in Betracht ziehen, das CSAM-Scanning-Tool zu aktivieren
Workers-Routen
Sie sollten bereits cloudflare workers überprüft haben
Regeln
TODO
Netzwerk
-
Wenn
HTTP/2aktiviert ist, sollteHTTP/2 zu Originaktiviert sein -
HTTP/3 (mit QUIC)sollte aktiviert sein -
Wenn die Privatsphäre Ihrer Benutzer wichtig ist, stellen Sie sicher, dass
Onion Routingaktiviert ist
Verkehr
TODO
Benutzerdefinierte Seiten
- Es ist optional, benutzerdefinierte Seiten zu konfigurieren, wenn ein sicherheitsbezogenes Problem auftritt (wie eine Blockierung, Ratenbegrenzung oder Ich bin im Angriffsmodus)
Apps
TODO
Scrape Shield
- Überprüfen Sie, ob die E-Mail-Adressenobfuskation aktiviert ist
- Überprüfen Sie, ob die Serverseitigen Ausschlüsse aktiviert sind
Zaraz
TODO
Web3
TODO
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.