Domaines Cloudflare

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Dans chaque TLD configuré dans Cloudflare, il y a des paramètres et services généraux qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :

Vue d’ensemble

  • Avoir une idée de combien les services du compte sont utilisés
  • Trouver également le zone ID et le account ID

Analytique

  • Dans Sécurité, vérifier s’il y a une limitation de taux

DNS

  • Vérifier les données intéressantes (sensibles ?) dans les enregistrements DNS
  • Vérifier les sous-domaines qui pourraient contenir des informations sensibles juste en se basant sur le nom (comme admin173865324.domin.com)
  • Vérifier les pages web qui ne sont pas proxyées
  • Vérifier les pages web proxyées qui peuvent être accessées directement par CNAME ou adresse IP
  • Vérifier que DNSSEC est activé
  • Vérifier que CNAME Flattening est utilisé dans tous les CNAMEs
  • Cela pourrait être utile pour cacher les vulnérabilités de prise de contrôle de sous-domaines et améliorer les temps de chargement
  • Vérifier que les domaines ne sont pas vulnérables au spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Vue d’ensemble

  • Le chiffrement SSL/TLS devrait être Complet ou Complet (Strict). Tout autre enverra du trafic en clair à un moment donné.
  • Le Recommander SSL/TLS devrait être activé

Certificats Edge

  • Always Use HTTPS devrait être activé
  • HTTP Strict Transport Security (HSTS) devrait être activé
  • La version minimale de TLS devrait être 1.2
  • TLS 1.3 devrait être activé
  • Automatic HTTPS Rewrites devrait être activé
  • Certificate Transparency Monitoring devrait être activé

Sécurité

  • Dans la section WAF, il est intéressant de vérifier que les règles de pare-feu et de limitation de taux sont utilisées pour prévenir les abus.
  • L’action Bypass désactivera les fonctionnalités de sécurité de Cloudflare pour une requête. Elle ne devrait pas être utilisée.
  • Dans la section Page Shield, il est recommandé de vérifier qu’elle est activée si une page est utilisée
  • Dans la section API Shield, il est recommandé de vérifier qu’elle est activée si une API est exposée dans Cloudflare
  • Dans la section DDoS, il est recommandé d’activer les protections DDoS
  • Dans la section Paramètres :
  • Vérifier que le Niveau de Sécurité est moyen ou supérieur
  • Vérifier que le Challenge Passage est de 1 heure au maximum
  • Vérifier que le Vérification de l'Intégrité du Navigateur est activée
  • Vérifier que le Support de Privacy Pass est activé

Protection DDoS de CloudFlare

  • Si possible, activez le Mode de Lutte contre les Bots ou le Mode de Lutte contre les Super Bots. Si vous protégez une API accessible de manière programmatique (depuis une page frontale JS par exemple). Vous pourriez ne pas être en mesure d’activer cela sans rompre cet accès.
  • Dans WAF : Vous pouvez créer des limites de taux par chemin URL ou pour des bots vérifiés (règles de limitation de taux), ou pour bloquer l’accès basé sur IP, Cookie, référent…). Ainsi, vous pourriez bloquer les requêtes qui ne proviennent pas d’une page web ou qui n’ont pas de cookie.
  • Si l’attaque provient d’un bot vérifié, au moins ajoutez une limite de taux aux bots.
  • Si l’attaque est dirigée vers un chemin spécifique, comme mécanisme de prévention, ajoutez une limite de taux dans ce chemin.
  • Vous pouvez également whitelister des adresses IP, des plages IP, des pays ou des ASN depuis les Outils dans WAF.
  • Vérifiez si les règles gérées pourraient également aider à prévenir les exploitations de vulnérabilités.
  • Dans la section Outils, vous pouvez bloquer ou donner un défi à des IP spécifiques et agents utilisateurs.
  • Dans DDoS, vous pourriez remplacer certaines règles pour les rendre plus restrictives.
  • Paramètres : Réglez le Niveau de Sécurité sur Élevé et sur Sous Attaque si vous êtes sous attaque et que la Vérification de l’Intégrité du Navigateur est activée.
  • Dans Domaines Cloudflare -> Analytique -> Sécurité -> Vérifiez si la limite de taux est activée
  • Dans Domaines Cloudflare -> Sécurité -> Événements -> Vérifiez les Événements malveillants détectés

Accès

Cloudflare Zero Trust Network

Vitesse

Je n’ai pas trouvé d’option liée à la sécurité

Mise en cache

  • Dans la section Configuration, envisagez d’activer l’outil de scan CSAM

Routes des Workers

Vous devriez déjà avoir vérifié cloudflare workers

Règles

TODO

Réseau

  • Si HTTP/2 est activé, HTTP/2 to Origin devrait être activé
  • HTTP/3 (avec QUIC) devrait être activé
  • Si la vie privée de vos utilisateurs est importante, assurez-vous que Onion Routing est activé

Trafic

TODO

Pages personnalisées

  • Il est optionnel de configurer des pages personnalisées lorsqu’une erreur liée à la sécurité est déclenchée (comme un blocage, une limitation de taux ou le mode je suis sous attaque)

Applications

TODO

Scrape Shield

  • Vérifiez que l’Obfuscation des adresses email est activée
  • Vérifiez que les Exclusions côté serveur sont activées

Zaraz

TODO

Web3

TODO

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks