Domaines Cloudflare

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Dans chaque TLD configurĂ© dans Cloudflare, il y a des paramĂštres et services gĂ©nĂ©raux qui peuvent ĂȘtre configurĂ©s. Sur cette page, nous allons analyser les paramĂštres liĂ©s Ă  la sĂ©curitĂ© de chaque section :

Vue d’ensemble

  • Avoir une idĂ©e de combien les services du compte sont utilisĂ©s
  • Trouver Ă©galement le zone ID et le account ID

Analytique

  • Dans SĂ©curitĂ©, vĂ©rifier s’il y a une limitation de taux

DNS

  • VĂ©rifier les donnĂ©es intĂ©ressantes (sensibles ?) dans les enregistrements DNS
  • VĂ©rifier les sous-domaines qui pourraient contenir des informations sensibles juste en se basant sur le nom (comme admin173865324.domin.com)
  • VĂ©rifier les pages web qui ne sont pas proxyĂ©es
  • VĂ©rifier les pages web proxyĂ©es qui peuvent ĂȘtre accessĂ©es directement par CNAME ou adresse IP
  • VĂ©rifier que DNSSEC est activĂ©
  • VĂ©rifier que CNAME Flattening est utilisĂ© dans tous les CNAMEs
  • Cela pourrait ĂȘtre utile pour cacher les vulnĂ©rabilitĂ©s de prise de contrĂŽle de sous-domaines et amĂ©liorer les temps de chargement
  • VĂ©rifier que les domaines ne sont pas vulnĂ©rables au spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Vue d’ensemble

  • Le chiffrement SSL/TLS devrait ĂȘtre Complet ou Complet (Strict). Tout autre enverra du trafic en clair Ă  un moment donnĂ©.
  • Le Recommander SSL/TLS devrait ĂȘtre activĂ©

Certificats Edge

  • Always Use HTTPS devrait ĂȘtre activĂ©
  • HTTP Strict Transport Security (HSTS) devrait ĂȘtre activĂ©
  • La version minimale de TLS devrait ĂȘtre 1.2
  • TLS 1.3 devrait ĂȘtre activĂ©
  • Automatic HTTPS Rewrites devrait ĂȘtre activĂ©
  • Certificate Transparency Monitoring devrait ĂȘtre activĂ©

Sécurité

  • Dans la section WAF, il est intĂ©ressant de vĂ©rifier que les rĂšgles de pare-feu et de limitation de taux sont utilisĂ©es pour prĂ©venir les abus.
  • L’action Bypass dĂ©sactivera les fonctionnalitĂ©s de sĂ©curitĂ© de Cloudflare pour une requĂȘte. Elle ne devrait pas ĂȘtre utilisĂ©e.
  • Dans la section Page Shield, il est recommandĂ© de vĂ©rifier qu’elle est activĂ©e si une page est utilisĂ©e
  • Dans la section API Shield, il est recommandĂ© de vĂ©rifier qu’elle est activĂ©e si une API est exposĂ©e dans Cloudflare
  • Dans la section DDoS, il est recommandĂ© d’activer les protections DDoS
  • Dans la section ParamĂštres :
  • VĂ©rifier que le Niveau de SĂ©curitĂ© est moyen ou supĂ©rieur
  • VĂ©rifier que le Challenge Passage est de 1 heure au maximum
  • VĂ©rifier que le VĂ©rification de l'IntĂ©gritĂ© du Navigateur est activĂ©e
  • VĂ©rifier que le Support de Privacy Pass est activĂ©

Protection DDoS de CloudFlare

  • Si possible, activez le Mode de Lutte contre les Bots ou le Mode de Lutte contre les Super Bots. Si vous protĂ©gez une API accessible de maniĂšre programmatique (depuis une page frontale JS par exemple). Vous pourriez ne pas ĂȘtre en mesure d’activer cela sans rompre cet accĂšs.
  • Dans WAF : Vous pouvez crĂ©er des limites de taux par chemin URL ou pour des bots vĂ©rifiĂ©s (rĂšgles de limitation de taux), ou pour bloquer l’accĂšs basĂ© sur IP, Cookie, rĂ©fĂ©rent
). Ainsi, vous pourriez bloquer les requĂȘtes qui ne proviennent pas d’une page web ou qui n’ont pas de cookie.
  • Si l’attaque provient d’un bot vĂ©rifiĂ©, au moins ajoutez une limite de taux aux bots.
  • Si l’attaque est dirigĂ©e vers un chemin spĂ©cifique, comme mĂ©canisme de prĂ©vention, ajoutez une limite de taux dans ce chemin.
  • Vous pouvez Ă©galement whitelister des adresses IP, des plages IP, des pays ou des ASN depuis les Outils dans WAF.
  • VĂ©rifiez si les rĂšgles gĂ©rĂ©es pourraient Ă©galement aider Ă  prĂ©venir les exploitations de vulnĂ©rabilitĂ©s.
  • Dans la section Outils, vous pouvez bloquer ou donner un dĂ©fi Ă  des IP spĂ©cifiques et agents utilisateurs.
  • Dans DDoS, vous pourriez remplacer certaines rĂšgles pour les rendre plus restrictives.
  • ParamĂštres : RĂ©glez le Niveau de SĂ©curitĂ© sur ÉlevĂ© et sur Sous Attaque si vous ĂȘtes sous attaque et que la VĂ©rification de l’IntĂ©gritĂ© du Navigateur est activĂ©e.
  • Dans Domaines Cloudflare -> Analytique -> SĂ©curitĂ© -> VĂ©rifiez si la limite de taux est activĂ©e
  • Dans Domaines Cloudflare -> SĂ©curitĂ© -> ÉvĂ©nements -> VĂ©rifiez les ÉvĂ©nements malveillants dĂ©tectĂ©s

AccĂšs

Cloudflare Zero Trust Network

Vitesse

Je n’ai pas trouvĂ© d’option liĂ©e Ă  la sĂ©curitĂ©

Mise en cache

  • Dans la section Configuration, envisagez d’activer l’outil de scan CSAM

Routes des Workers

Vous devriez déjà avoir vérifié cloudflare workers

RĂšgles

TODO

RĂ©seau

  • Si HTTP/2 est activĂ©, HTTP/2 to Origin devrait ĂȘtre activĂ©
  • HTTP/3 (avec QUIC) devrait ĂȘtre activĂ©
  • Si la vie privĂ©e de vos utilisateurs est importante, assurez-vous que Onion Routing est activĂ©

Trafic

TODO

Pages personnalisées

  • Il est optionnel de configurer des pages personnalisĂ©es lorsqu’une erreur liĂ©e Ă  la sĂ©curitĂ© est dĂ©clenchĂ©e (comme un blocage, une limitation de taux ou le mode je suis sous attaque)

Applications

TODO

Scrape Shield

  • VĂ©rifiez que l’Obfuscation des adresses email est activĂ©e
  • VĂ©rifiez que les Exclusions cĂŽtĂ© serveur sont activĂ©es

Zaraz

TODO

Web3

TODO

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks