HackTricks CloudCloudflare Domains
Reading time: 6 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।
Cloudflare में कॉन्फ़िगर किए गए प्रत्येक TLD में कुछ सामान्य सेटिंग्स और सेवाएँ होती हैं जिन्हें कॉन्फ़िगर किया जा सकता है। इस पृष्ठ पर हम प्रत्येक अनुभाग की सुरक्षा से संबंधित सेटिंग्स का विश्लेषण करने जा रहे हैं:
.png)
Overview
- यह जानें कि सेवाएँ कितनी उपयोग की गई हैं
- ज़ोन आईडी और खाता आईडी भी खोजें
Analytics
-
Securityमें देखें कि क्या कोई Rate limiting है
DNS
- DNS रिकॉर्ड्स में दिलचस्प (संवेदनशील?) डेटा की जांच करें
- उपडोमेन की जांच करें जो केवल नाम के आधार पर संवेदनशील जानकारी रख सकते हैं (जैसे admin173865324.domin.com)
- उन वेब पृष्ठों की जांच करें जो प्रॉक्सी नहीं हैं
- उन प्रॉक्सिफाइड वेब पृष्ठों की जांच करें जिन्हें CNAME या IP पते द्वारा प्रत्यक्ष रूप से एक्सेस किया जा सकता है
- सुनिश्चित करें कि DNSSEC सक्रिय है
- सुनिश्चित करें कि CNAME Flattening सभी CNAMEs में उपयोग किया गया है
- यह उपडोमेन टेकओवर कमजोरियों को छिपाने और लोड समय में सुधार करने के लिए उपयोगी हो सकता है
- सुनिश्चित करें कि डोमेन स्पूफिंग के लिए संवेदनशील नहीं हैं
TODO
Spectrum
TODO
SSL/TLS
Overview
- SSL/TLS एन्क्रिप्शन पूर्ण या पूर्ण (सख्त) होना चाहिए। अन्य कोई भी किसी बिंदु पर स्पष्ट-टेक्स्ट ट्रैफ़िक भेजेगा।
- SSL/TLS अनुशंसा सक्षम होनी चाहिए
Edge Certificates
- हमेशा HTTPS का उपयोग करें सक्षम होना चाहिए
- HTTP सख्त परिवहन सुरक्षा (HSTS) सक्षम होना चाहिए
- न्यूनतम TLS संस्करण 1.2 होना चाहिए
- TLS 1.3 सक्षम होना चाहिए
- स्वचालित HTTPS पुनर्लेखन सक्षम होना चाहिए
- प्रमाणपत्र पारदर्शिता निगरानी सक्षम होनी चाहिए
Security
-
WAFअनुभाग में यह देखना दिलचस्प है कि फायरवॉल और रेट लिमिटिंग नियमों का उपयोग दुरुपयोग को रोकने के लिए किया गया है। Bypassक्रिया एक अनुरोध के लिए Cloudflare सुरक्षा सुविधाओं को अक्षम कर देगी। इसका उपयोग नहीं किया जाना चाहिए।-
Page Shieldअनुभाग में यह जांचना अनुशंसित है कि यदि कोई पृष्ठ उपयोग किया जा रहा है तो यह सक्रिय है -
API Shieldअनुभाग में यह जांचना अनुशंसित है कि यदि कोई API Cloudflare में उजागर है तो यह सक्रिय है -
DDoSअनुभाग में DDoS सुरक्षा सक्षम करने की सिफारिश की जाती है -
Settingsअनुभाग में: -
सुनिश्चित करें कि
Security Levelमध्यम या उससे अधिक है -
सुनिश्चित करें कि
Challenge Passageअधिकतम 1 घंटा है -
सुनिश्चित करें कि
Browser Integrity Checkसक्रिय है -
सुनिश्चित करें कि
Privacy Pass Supportसक्रिय है
CloudFlare DDoS Protection
- यदि आप कर सकते हैं, तो Bot Fight Mode या Super Bot Fight Mode सक्षम करें। यदि आप किसी API की सुरक्षा कर रहे हैं जो प्रोग्रामेटिक रूप से एक्सेस की जाती है (उदाहरण के लिए, एक JS फ्रंट एंड पृष्ठ से)। आप बिना उस एक्सेस को तोड़े इसे सक्षम नहीं कर सकते।
- WAF में: आप URL पथ द्वारा रेट सीमाएँ बना सकते हैं या सत्यापित बॉट्स के लिए (रेट लिमिटिंग नियम), या IP, कुकी, संदर्भकर्ता आदि के आधार पर एक्सेस को अवरुद्ध कर सकते हैं। इसलिए आप उन अनुरोधों को अवरुद्ध कर सकते हैं जो किसी वेब पृष्ठ से नहीं आते हैं या जिनमें कुकी नहीं है।
- यदि हमला सत्यापित बॉट से है, तो कम से कम बॉट्स के लिए रेट लिमिट जोड़ें।
- यदि हमला विशिष्ट पथ पर है, तो रोकथाम तंत्र के रूप में, इस पथ में रेट लिमिट जोड़ें।
- आप WAF में उपकरणों से IP पते, IP रेंज, देशों या ASN को भी व्हाइटलिस्ट कर सकते हैं।
- जांचें कि क्या Managed rules भी कमजोरियों के शोषण को रोकने में मदद कर सकते हैं।
- Tools अनुभाग में आप विशिष्ट IPs और उपयोगकर्ता एजेंटों को अवरोधित या चुनौती दे सकते हैं।
- DDoS में आप कुछ नियमों को अधिक प्रतिबंधात्मक बनाने के लिए ओवरराइड कर सकते हैं।
- Settings: Security Level को High पर सेट करें और Under Attack पर यदि आप हमले के तहत हैं और Browser Integrity Check सक्षम है।
- Cloudflare Domains -> Analytics -> Security -> जांचें कि रेट लिमिट सक्षम है
- Cloudflare Domains -> Security -> Events -> पाई गई दुर्भावनापूर्ण घटनाओं की जांच करें
Access
Speed
मैं सुरक्षा से संबंधित कोई विकल्प नहीं ढूंढ सका
Caching
-
Configurationअनुभाग में CSAM स्कैनिंग टूल को सक्षम करने पर विचार करें
Workers Routes
आपको पहले ही cloudflare workers की जांच करनी चाहिए
Rules
TODO
Network
-
यदि
HTTP/2सक्रिय है, तोHTTP/2 to Originको सक्रिय होना चाहिए -
HTTP/3 (with QUIC)को सक्रिय होना चाहिए -
यदि आपके उपयोगकर्ताओं की गोपनीयता महत्वपूर्ण है, तो सुनिश्चित करें कि
Onion Routingसक्रिय है
Traffic
TODO
Custom Pages
- जब सुरक्षा से संबंधित कोई त्रुटि उत्पन्न होती है (जैसे एक ब्लॉक, रेट लिमिटिंग या मैं हमले के तहत हूं) तो कस्टम पृष्ठों को कॉन्फ़िगर करना वैकल्पिक है
Apps
TODO
Scrape Shield
- जांचें कि Email Address Obfuscation सक्रिय है
- जांचें कि Server-side Excludes सक्रिय है
Zaraz
TODO
Web3
TODO
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।