HackTricks CloudCloudflare Domains
Reading time: 5 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
В кожному TLD, налаштованому в Cloudflare, є деякі загальні налаштування та сервіси, які можна налаштувати. На цій сторінці ми будемо аналізувати налаштування, пов'язані з безпекою, кожного розділу:
.png)
Огляд
- Отримати уявлення про те, наскільки сервіси облікового запису використовуються
- Знайти також zone ID та account ID
Аналітика
-
У
Securityперевірити, чи є будь-яке обмеження швидкості
DNS
- Перевірити цікаві (чутливі?) дані в DNS записах
- Перевірити наявність субдоменів, які можуть містити чутливу інформацію лише на основі імені (наприклад, admin173865324.domin.com)
- Перевірити веб-сторінки, які не є проксованими
- Перевірити проксовані веб-сторінки, до яких можна доступитися безпосередньо за допомогою CNAME або IP-адреси
- Перевірити, що DNSSEC увімкнено
- Перевірити, що CNAME Flattening використовується в усіх CNAME
- Це може бути корисно для приховування вразливостей захоплення субдоменів та покращення часу завантаження
- Перевірити, що домени не вразливі до спуфінгу
Електронна пошта
TODO
Spectrum
TODO
SSL/TLS
Огляд
- SSL/TLS шифрування має бути Повним або Повним (Суворим). Будь-який інший варіант на деякому етапі відправить трафік у відкритому тексті.
- SSL/TLS Рекомендатор має бути увімкнено
Сертифікати Edge
- Завжди використовувати HTTPS має бути увімкнено
- HTTP Strict Transport Security (HSTS) має бути увімкнено
- Мінімальна версія TLS має бути 1.2
- TLS 1.3 має бути увімкнено
- Автоматичні переписування HTTPS мають бути увімкнені
- Моніторинг прозорості сертифікатів має бути увімкнено
Безпека
-
У розділі
WAFцікаво перевірити, що правила брандмауера та обмеження швидкості використовуються для запобігання зловживанням. - Дія
Bypassвідключить функції безпеки Cloudflare для запиту. Її не слід використовувати. -
У розділі
Page Shieldрекомендується перевірити, що він увімкнений, якщо використовується будь-яка сторінка -
У розділі
API Shieldрекомендується перевірити, що він увімкнений, якщо будь-який API відкритий у Cloudflare -
У розділі
DDoSрекомендується увімкнути захист від DDoS -
У розділі
Settings: -
Перевірити, що
Security Levelє середнім або вищим -
Перевірити, що
Challenge Passageстановить максимум 1 годину -
Перевірити, що
Browser Integrity Checkувімкнено -
Перевірити, що
Privacy Pass Supportувімкнено
Захист DDoS CloudFlare
- Якщо можливо, увімкніть Bot Fight Mode або Super Bot Fight Mode. Якщо ви захищаєте якийсь API, доступний програмно (наприклад, з JS фронтенд-сторінки). Ви можете не зможете увімкнути це, не зламавши цей доступ.
- У WAF: Ви можете створити обмеження швидкості за URL-адресою або для перевірених ботів (правила обмеження швидкості), або блокувати доступ на основі IP, Cookie, реферера...). Таким чином, ви можете блокувати запити, які не надходять з веб-сторінки або не мають cookie.
- Якщо атака з перевіреного бота, принаймні додайте обмеження швидкості для ботів.
- Якщо атака на конкретний шлях, як механізм запобігання, додайте обмеження швидкості в цьому шляху.
- Ви також можете додати до білого списку IP-адреси, діапазони IP, країни або ASN у Інструментах в WAF.
- Перевірте, чи Керовані правила також можуть допомогти запобігти експлуатації вразливостей.
- У розділі Інструменти ви можете блокувати або ставити виклик конкретним IP та агентам користувача.
- У DDoS ви можете перезаписати деякі правила, щоб зробити їх більш обмежувальними.
- Налаштування: Встановіть Security Level на Високий та на Під атакою, якщо ви під атакою, і щоб Browser Integrity Check був увімкнений.
- У Cloudflare Domains -> Аналітика -> Безпека -> Перевірте, чи обмеження швидкості увімкнено
- У Cloudflare Domains -> Безпека -> Події -> Перевірте наявність виявлених шкідливих подій
Доступ
Швидкість
Я не зміг знайти жодної опції, пов'язаної з безпекою
Кешування
-
У розділі
Configurationрозгляньте можливість увімкнення CSAM Scanning Tool
Маршрути Workers
Ви вже повинні були перевірити cloudflare workers
Правила
TODO
Мережа
-
Якщо
HTTP/2увімкнено,HTTP/2 to Originмає бути увімкнено -
HTTP/3 (з QUIC)має бути увімкнено -
Якщо конфіденційність ваших користувачів важлива, переконайтеся, що
Onion Routingувімкнено
Трафік
TODO
Користувацькі сторінки
- Налаштування користувацьких сторінок, коли виникає помилка, пов'язана з безпекою (наприклад, блокування, обмеження швидкості або я під атакою), є необов'язковим
Додатки
TODO
Scrape Shield
- Перевірте, що обфускація адрес електронної пошти увімкнена
- Перевірте, що виключення на стороні сервера увімкнені
Zaraz
TODO
Web3
TODO
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.