Cloudflare Domains

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Σε κάθε TLD που έχει ρυθμιστεί στο Cloudflare υπάρχουν κάποιες γενικές ρυθμίσεις και υπηρεσίες που μπορούν να ρυθμιστούν. Σε αυτή τη σελίδα θα αναλύσουμε τις ρυθμίσεις που σχετίζονται με την ασφάλεια κάθε ενότητας:

Overview

• Αποκτήστε μια αίσθηση του πόσο χρησιμοποιούνται οι υπηρεσίες του λογαριασμού
• Βρείτε επίσης το zone ID και το account ID

Analytics

• Στην Security ελέγξτε αν υπάρχει κάποιος Rate limiting

DNS

• Ελέγξτε ενδιαφέροντα (ευαίσθητα;) δεδομένα στα DNS records
• Ελέγξτε για subdomains που θα μπορούσαν να περιέχουν ευαίσθητες πληροφορίες μόνο με βάση το όνομα (όπως admin173865324.domin.com)
• Ελέγξτε για ιστοσελίδες που δεν είναι proxied
• Ελέγξτε για proxified web pages που μπορούν να προσεγγιστούν απευθείας μέσω CNAME ή διεύθυνσης IP
• Ελέγξτε ότι το DNSSEC είναι ενεργοποιημένο
• Ελέγξτε ότι το CNAME Flattening είναι χρησιμοποιούμενο σε όλα τα CNAMEs
• Αυτό μπορεί να είναι χρήσιμο για να κρύψει τις ευπάθειες κατάληψης subdomain και να βελτιώσει τους χρόνους φόρτωσης
• Ελέγξτε ότι οι τομείς δεν είναι ευάλωτοι σε spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Overview

• Η κρυπτογράφηση SSL/TLS θα πρέπει να είναι Full ή Full (Strict). Οποιαδήποτε άλλη θα στείλει clear-text traffic σε κάποιο σημείο.
• Ο SSL/TLS Recommender θα πρέπει να είναι ενεργοποιημένος

Edge Certificates

• Always Use HTTPS θα πρέπει να είναι ενεργοποιημένο
• HTTP Strict Transport Security (HSTS) θα πρέπει να είναι ενεργοποιημένο
• Η ελάχιστη έκδοση TLS θα πρέπει να είναι 1.2
• TLS 1.3 θα πρέπει να είναι ενεργοποιημένο
• Automatic HTTPS Rewrites θα πρέπει να είναι ενεργοποιημένο
• Certificate Transparency Monitoring θα πρέπει να είναι ενεργοποιημένο

Security

• Στην ενότητα WAF είναι ενδιαφέρον να ελέγξετε ότι οι κανόνες Firewall και rate limiting χρησιμοποιούνται για την πρόληψη καταχρήσεων.
• Η ενέργεια Bypass θα απενεργοποιήσει τις δυνατότητες ασφάλειας του Cloudflare για ένα αίτημα. Δεν θα πρέπει να χρησιμοποιείται.
• Στην ενότητα Page Shield συνιστάται να ελέγξετε ότι είναι ενεργοποιημένο αν χρησιμοποιείται κάποια σελίδα
• Στην ενότητα API Shield συνιστάται να ελέγξετε ότι είναι ενεργοποιημένο αν εκτίθεται κάποια API στο Cloudflare
• Στην ενότητα DDoS συνιστάται να ενεργοποιήσετε τις προστασίες DDoS
• Στην ενότητα Settings:
• Ελέγξτε ότι το Security Level είναι medium ή μεγαλύτερο
• Ελέγξτε ότι το Challenge Passage είναι 1 ώρα το μέγιστο
• Ελέγξτε ότι το Browser Integrity Check είναι ενεργοποιημένο
• Ελέγξτε ότι η Privacy Pass Support είναι ενεργοποιημένη

CloudFlare DDoS Protection

• Αν μπορείτε, ενεργοποιήστε το Bot Fight Mode ή το Super Bot Fight Mode. Αν προστατεύετε κάποια API που προσπελάζεται προγραμματισμένα (από μια σελίδα JS front end για παράδειγμα). Μπορεί να μην μπορείτε να το ενεργοποιήσετε χωρίς να σπάσετε αυτή την πρόσβαση.
• Στο WAF: Μπορείτε να δημιουργήσετε rate limits κατά URL path ή για verified bots (κανόνες rate limiting), ή να μπλοκάρετε την πρόσβαση με βάση IP, Cookie, referrer…). Έτσι μπορείτε να μπλοκάρετε αιτήματα που δεν προέρχονται από μια ιστοσελίδα ή δεν έχουν cookie.
• Αν η επίθεση προέρχεται από έναν verified bot, τουλάχιστον προσθέστε ένα rate limit στους bots.
• Αν η επίθεση είναι σε ένα συγκεκριμένο path, ως μηχανισμός πρόληψης, προσθέστε ένα rate limit σε αυτό το path.
• Μπορείτε επίσης να whitelist διευθύνσεις IP, εύρη IP, χώρες ή ASNs από τα Tools στο WAF.
• Ελέγξτε αν οι Managed rules θα μπορούσαν επίσης να βοηθήσουν στην πρόληψη εκμεταλλεύσεων ευπαθειών.
• Στην ενότητα Tools μπορείτε να μπλοκάρετε ή να δώσετε μια πρόκληση σε συγκεκριμένες IPs και user agents.
• Στο DDoS μπορείτε να παρακάμψετε κάποιους κανόνες για να τους κάνετε πιο περιοριστικούς.
• Settings: Ρυθμίστε το Security Level σε High και σε Under Attack αν είστε Under Attack και ότι το Browser Integrity Check είναι ενεργοποιημένο.
• Στο Cloudflare Domains -> Analytics -> Security -> Ελέγξτε αν είναι ενεργοποιημένο το rate limit
• Στο Cloudflare Domains -> Security -> Events -> Ελέγξτε για ανιχνευμένα κακόβουλα Events

Access

Cloudflare Zero Trust Network

Speed

Δεν μπόρεσα να βρω καμία επιλογή σχετική με την ασφάλεια

Caching

• Στην ενότητα Configuration σκεφτείτε να ενεργοποιήσετε το CSAM Scanning Tool

Workers Routes

Θα έπρεπε ήδη να έχετε ελέγξει cloudflare workers

Rules

TODO

Network

• Αν το HTTP/2 είναι ενεργοποιημένο, το HTTP/2 to Origin θα πρέπει να είναι ενεργοποιημένο
• HTTP/3 (with QUIC) θα πρέπει να είναι ενεργοποιημένο
• Αν η ιδιωτικότητα των χρηστών σας είναι σημαντική, βεβαιωθείτε ότι το Onion Routing είναι ενεργοποιημένο

Traffic

TODO

Custom Pages

• Είναι προαιρετικό να ρυθμίσετε προσαρμοσμένες σελίδες όταν προκληθεί ένα σφάλμα σχετικό με την ασφάλεια (όπως μπλοκάρισμα, rate limiting ή είμαι σε κατάσταση επίθεσης)

Apps

TODO

Scrape Shield

• Ελέγξτε ότι η Email Address Obfuscation είναι ενεργοποιημένη
• Ελέγξτε ότι οι Server-side Excludes είναι ενεργοποιημένες

Zaraz

TODO

Web3

TODO

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.