Cloudflare Domains

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

In ogni TLD configurato in Cloudflare ci sono alcune impostazioni generali e servizi che possono essere configurati. In questa pagina andremo ad analizzare le impostazioni relative alla sicurezza di ciascuna sezione:

Overview

• Fai un’idea di quanto sono utilizzati i servizi dell’account
• Trova anche il zone ID e il account ID

Analytics

• In Security controlla se ci sono Rate limiting

DNS

• Controlla i dati interessanti (sensibili?) nei record DNS
• Controlla i sottodomini che potrebbero contenere informazioni sensibili solo in base al nome (come admin173865324.domin.com)
• Controlla le pagine web che non sono proxied
• Controlla le pagine web proxificate che possono essere accessibili direttamente tramite CNAME o indirizzo IP
• Controlla che DNSSEC sia abilitato
• Controlla che CNAME Flattening sia utilizzato in tutti i CNAME
• Questo potrebbe essere utile per nascondere vulnerabilità di takeover dei sottodomini e migliorare i tempi di caricamento
• Controlla che i domini non siano vulnerabili a spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Overview

• La crittografia SSL/TLS dovrebbe essere Full o Full (Strict). Qualsiasi altra opzione invierà traffico in chiaro a un certo punto.
• Il SSL/TLS Recommender dovrebbe essere abilitato

Edge Certificates

• Always Use HTTPS dovrebbe essere abilitato
• HTTP Strict Transport Security (HSTS) dovrebbe essere abilitato
• La versione minima di TLS dovrebbe essere 1.2
• TLS 1.3 dovrebbe essere abilitato
• Automatic HTTPS Rewrites dovrebbe essere abilitato
• Certificate Transparency Monitoring dovrebbe essere abilitato

Security

• Nella sezione WAF è interessante controllare che le regole di Firewall e rate limiting siano utilizzate per prevenire abusi.
• L’azione Bypass disabiliterà le funzionalità di sicurezza di Cloudflare per una richiesta. Non dovrebbe essere utilizzata.
• Nella sezione Page Shield è consigliato controllare che sia abilitato se viene utilizzata una pagina
• Nella sezione API Shield è consigliato controllare che sia abilitato se viene esposta un’API in Cloudflare
• Nella sezione DDoS è consigliato abilitare le protezioni DDoS
• Nella sezione Settings:
• Controlla che il Security Level sia medio o superiore
• Controlla che il Challenge Passage sia di massimo 1 ora
• Controlla che il Browser Integrity Check sia abilitato
• Controlla che il Privacy Pass Support sia abilitato

CloudFlare DDoS Protection

• Se puoi, abilita Bot Fight Mode o Super Bot Fight Mode. Se stai proteggendo un’API accessibile programmaticamente (da una pagina front end JS, ad esempio). Potresti non essere in grado di abilitare questo senza interrompere quell’accesso.
• In WAF: Puoi creare rate limits per percorso URL o per bot verificati (regole di rate limiting), o per bloccare l’accesso in base a IP, Cookie, referrer…). Quindi potresti bloccare richieste che non provengono da una pagina web o che non hanno un cookie.
• Se l’attacco proviene da un bot verificato, almeno aggiungi un rate limit ai bot.
• Se l’attacco è a un percorso specifico, come meccanismo di prevenzione, aggiungi un rate limit in questo percorso.
• Puoi anche whitelistare indirizzi IP, intervalli IP, paesi o ASN dagli Strumenti in WAF.
• Controlla se le Managed rules potrebbero anche aiutare a prevenire sfruttamenti di vulnerabilità.
• Nella sezione Strumenti puoi bloccare o dare una sfida a IP e user agents specifici.
• In DDoS potresti sovrascrivere alcune regole per renderle più restrittive.
• Impostazioni: Imposta il Security Level su High e su Under Attack se sei sotto attacco e che il Browser Integrity Check è abilitato.
• In Cloudflare Domains -> Analytics -> Security -> Controlla se il rate limit è abilitato
• In Cloudflare Domains -> Security -> Events -> Controlla per Eventi malevoli rilevati

Access

Cloudflare Zero Trust Network

Speed

Non sono riuscito a trovare alcuna opzione relativa alla sicurezza

Caching

• Nella sezione Configuration considera di abilitare il CSAM Scanning Tool

Workers Routes

Dovresti aver già controllato cloudflare workers

Rules

TODO

Network

• Se HTTP/2 è abilitato, HTTP/2 to Origin dovrebbe essere abilitato
• HTTP/3 (with QUIC) dovrebbe essere abilitato
• Se la privacy dei tuoi utenti è importante, assicurati che Onion Routing sia abilitato

Traffic

TODO

Custom Pages

• È facoltativo configurare pagine personalizzate quando viene attivato un errore relativo alla sicurezza (come un blocco, rate limiting o sono in modalità sotto attacco)

Apps

TODO

Scrape Shield

• Controlla che Email Address Obfuscation sia abilitato
• Controlla che Server-side Excludes sia abilitato

Zaraz

TODO

Web3

TODO

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.