HackTricks CloudCloudflare Zero Trust Network
Reading time: 3 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : 
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Dans un compte Cloudflare Zero Trust Network, il y a certains paramètres et services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :
.png)
Analytics
- Utile pour connaître l'environnement
Gateway
-
Dans
Policies, il est possible de générer des politiques pour restreindre par DNS, réseau ou requête HTTP qui peut accéder aux applications. - Si utilisé, des politiques pourraient être créées pour restreindre l'accès aux sites malveillants.
- Ceci est uniquement pertinent si une passerelle est utilisée, sinon, il n'y a aucune raison de créer des politiques défensives.
Access
Applications
Sur chaque application :
- Vérifiez qui peut accéder à l'application dans les Policies et assurez-vous que seuls les utilisateurs qui ont besoin d'accès à l'application peuvent y accéder.
- Pour permettre l'accès, des
Access Groupsvont être utilisés (et des règles supplémentaires peuvent également être définies) - Vérifiez les fournisseurs d'identité disponibles et assurez-vous qu'ils ne sont pas trop ouverts
-
Dans
Settings: - Vérifiez que CORS n'est pas activé (s'il est activé, vérifiez qu'il est sécurisé et qu'il ne permet pas tout)
- Les cookies doivent avoir l'attribut Strict Same-Site, HTTP Only et le binding cookie doit être activé si l'application est HTTP.
- Envisagez également d'activer le rendu du navigateur pour une meilleure protection. Plus d'infos sur l'isolement du navigateur distant ici.
Access Groups
- Vérifiez que les groupes d'accès générés sont correctement restreints aux utilisateurs qu'ils doivent autoriser.
- Il est particulièrement important de vérifier que le groupe d'accès par défaut n'est pas très ouvert (il ne permet pas trop de personnes) car par défaut, quiconque dans ce groupe pourra accéder aux applications.
- Notez qu'il est possible de donner accès à TOUS et d'autres politiques très ouvertes qui ne sont pas recommandées sauf si 100 % nécessaire.
Service Auth
- Vérifiez que tous les jetons de service expirent dans 1 an ou moins
Tunnels
TODO
My Team
TODO
Logs
- Vous pourriez rechercher des actions inattendues de la part des utilisateurs
Settings
- Vérifiez le type de plan
- Il est possible de voir le nom du propriétaire de la carte de crédit, derniers 4 chiffres, date d'expiration et adresse
- Il est recommandé d'ajouter une expiration de siège utilisateur pour supprimer les utilisateurs qui n'utilisent pas vraiment ce service
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.