Cloudflare Domains

Reading time: 5 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Katika kila TLD iliyowekwa kwenye Cloudflare kuna mipangilio na huduma za jumla ambazo zinaweza kuwekwa. Katika ukurasa huu tutachambua mipangilio inayohusiana na usalama ya kila sehemu:

Muhtasari

Pata hisia ya ni kiasi gani huduma za akaunti zinatumika
Pata pia zone ID na account ID

Uchambuzi

Katika Security angalia kama kuna Rate limiting

DNS

Angalia data za kuvutia (nyeti?) katika records za DNS
Angalia subdomains ambazo zinaweza kuwa na habari nyeti kulingana na jina (kama admin173865324.domin.com)
Angalia kurasa za wavuti ambazo hazijapitiwa proxied
Angalia kwa kurasa za wavuti zilizopitishwa ambazo zinaweza kupatikana moja kwa moja kwa CNAME au anwani ya IP
Hakikisha kuwa DNSSEC ime wezeshwa
Hakikisha kuwa CNAME Flattening inatumika katika CNAME zote
Hii inaweza kuwa na manufaa kuficha udhaifu wa kuchukua subdomain na kuboresha muda wa kupakia
Hakikisha kuwa majina ya hayana udhaifu wa spoofing hayana udhaifu wa spoofing

Barua pepe

TODO

Spectrum

TODO

SSL/TLS

Muhtasari

SSL/TLS encryption inapaswa kuwa Full au Full (Strict). Mengineyo yatatuma trafiki ya maandiko wazi kwa wakati fulani.
SSL/TLS Recommender inapaswa kuwa imewezeshwa

Vyeti vya Edge

Daima Tumia HTTPS inapaswa kuwa imewezeshwa
HTTP Strict Transport Security (HSTS) inapaswa kuwa imewezeshwa
Tofauti ya chini ya TLS inapaswa kuwa 1.2
TLS 1.3 inapaswa kuwa imewezeshwa
Marekebisho ya kiotomatiki ya HTTPS inapaswa kuwa imewezeshwa
Ufuatiliaji wa Uwazi wa Cheti inapaswa kuwa imewezeshwa

Usalama

Katika sehemu ya WAF ni muhimu kuangalia kwamba Firewall na kanuni za rate limiting zinatumika kuzuia matumizi mabaya.
Kitendo cha Bypass kita zima vipengele vya usalama vya Cloudflare kwa ombi. Hakipaswi kutumika.
Katika sehemu ya Page Shield inapendekezwa kuangalia kwamba ime wezeshwa ikiwa ukurasa wowote unatumika
Katika sehemu ya API Shield inapendekezwa kuangalia kwamba ime wezeshwa ikiwa API yoyote inafichuliwa kwenye Cloudflare
Katika sehemu ya DDoS inapendekezwa kuwezesha ulinzi wa DDoS
Katika sehemu ya Settings:
Hakikisha kuwa Security Level ni kati au zaidi
Hakikisha kuwa Challenge Passage ni saa 1 kwa max
Hakikisha kuwa Browser Integrity Check ime wezeshwa
Hakikisha kuwa Privacy Pass Support ime wezeshwa

Ulinzi wa DDoS wa CloudFlare

Ikiwa unaweza, wezesha Bot Fight Mode au Super Bot Fight Mode. Ikiwa unalinda API fulani inayopatikana kwa njia ya programu (kutoka ukurasa wa mbele wa JS kwa mfano). Huenda usiweze kuwezesha hii bila kuvunja ufikiaji huo.
Katika WAF: Unaweza kuunda mipaka ya kiwango kwa njia ya URL au kwa bots zilizothibitishwa (kanuni za rate limiting), au kuzuia ufikiaji kulingana na IP, Cookie, referrer...). Hivyo unaweza kuzuia maombi ambayo hayajatoka kwenye ukurasa wa wavuti au yana cookie.
Ikiwa shambulio linatoka kwa bot iliyothibitishwa, angalau ongeza kiwango cha mipaka kwa bots.
Ikiwa shambulio linahusiana na njia maalum, kama njia ya kuzuia, ongeza mipaka ya kiwango katika njia hii.
Unaweza pia kuongeza orodha ya nyeupe anwani za IP, anuwai za IP, nchi au ASNs kutoka Zana katika WAF.
Angalia ikiwa Kanuni Zinazosimamiwa zinaweza pia kusaidia kuzuia matumizi mabaya ya udhaifu.
Katika sehemu ya Zana unaweza kuzuia au kutoa changamoto kwa IP maalum na wakala wa mtumiaji.
Katika DDoS unaweza kuzidisha baadhi ya kanuni ili kuzifanya kuwa kali zaidi.
Mipangilio: Weka Kiwango cha Usalama kuwa Juu na kuwa Chini ya Shambulio ikiwa uko chini ya shambulio na kwamba Browser Integrity Check imewezeshwa.
Katika Cloudflare Domains -> Uchambuzi -> Usalama -> Angalia ikiwa rate limit imewezeshwa
Katika Cloudflare Domains -> Usalama -> Matukio -> Angalia kwa matukio mabaya yaliyogunduliwa

Ufikiaji

Cloudflare Zero Trust Network

Kasi

Sikuweza kupata chaguo lolote linalohusiana na usalama

Caching

Katika sehemu ya Configuration fikiria kuwezesha Zana ya Skanning ya CSAM

Njia za Wafanyakazi

Umeweza tayari kuangalia cloudflare workers

Kanuni

TODO

Mtandao

Ikiwa HTTP/2 ime wezeshwa, HTTP/2 to Origin inapaswa kuwa imewezeshwa
HTTP/3 (na QUIC) inapaswa kuwa imewezeshwa
Ikiwa faragha ya watumiaji wako ni muhimu, hakikisha Onion Routing ime wezeshwa

Mwanzo

TODO

Kurasa za Kawaida

Ni hiari kuweka mipangilio ya kurasa za kawaida wakati kosa linalohusiana na usalama linapotokea (kama kizuizi, rate limiting au niko chini ya shambulio)

Mifumo

TODO

Scrape Shield

Angalia Uondoaji wa Anwani za Barua pepe ume wezeshwa
Angalia Kujiondoa kwa Seva ume wezeshwa

Zaraz

TODO

Web3

TODO

tip

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

HackTricks Cloud