Cloudflare Domains

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 subscription plans!
• 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。

在每个配置在 Cloudflare 的 TLD 中，有一些 通用设置和服务 可以配置。在本页面中，我们将 分析每个部分的安全相关设置：

概述

• 了解账户 服务的使用程度
• 还要找到 区域 ID 和 账户 ID

分析

• 在 安全 中检查是否有 速率限制

DNS

• 检查 DNS 记录 中的 有趣（敏感？）数据
• 检查可能包含 敏感信息 的 子域名，仅基于 名称（如 admin173865324.domin.com）
• 检查 未被代理 的网页
• 检查可以通过 CNAME 或 IP 地址 直接访问的代理网页
• 检查 DNSSEC 是否 启用
• 检查所有 CNAME 是否 使用 CNAME 扁平化
• 这可能有助于 隐藏子域名接管漏洞 并改善加载时间
• 检查域名 是否易受欺骗

电子邮件

TODO

Spectrum

TODO

SSL/TLS

概述

• SSL/TLS 加密 应该是 完全 或 完全（严格）。任何其他设置将在某些时候发送 明文流量。
• SSL/TLS 推荐器 应该启用

边缘证书

• 始终使用 HTTPS 应该 启用
• HTTP 严格传输安全（HSTS） 应该 启用
• 最低 TLS 版本应为 1.2
• TLS 1.3 应该启用
• 自动 HTTPS 重写 应该 启用
• 证书透明度监控 应该 启用

安全

• 在 WAF 部分，检查 防火墙 和 速率限制规则是否被使用 以防止滥用是很有趣的。
• 绕过 操作将 禁用 Cloudflare 安全 功能。它不应该被使用。
• 在 页面保护 部分，如果使用了任何页面，建议检查它是否 启用
• 在 API 保护 部分，如果在 Cloudflare 中暴露了任何 API，建议检查它是否 启用
• 在 DDoS 部分，建议启用 DDoS 保护
• 在 设置 部分：
• 检查 安全级别 是否为 中等 或更高
• 检查 挑战通过 最多为 1 小时
• 检查 浏览器完整性检查 是否 启用
• 检查 隐私通行证支持 是否 启用

CloudFlare DDoS 保护

• 如果可以，启用 机器人战斗模式 或 超级机器人战斗模式。如果您保护某个通过编程访问的 API（例如，从 JS 前端页面），您可能无法在不破坏该访问的情况下启用此功能。
• 在 WAF：您可以根据 URL 路径创建 速率限制 或对 已验证的机器人（速率限制规则），或根据 IP、Cookie、引荐来源等 阻止访问。因此，您可以阻止不来自网页或没有 Cookie 的请求。
• 如果攻击来自 已验证的机器人，至少 添加速率限制 到机器人。
• 如果攻击是针对 特定路径，作为预防机制，在该路径中添加 速率限制。
• 您还可以在 WAF 的 工具 中 白名单 IP 地址、IP 范围、国家或 ASN。
• 检查 托管规则 是否也可以帮助防止漏洞利用。
• 在 工具 部分，您可以 阻止或对特定 IP 和用户代理发出挑战。
• 在 DDoS 中，您可以 覆盖某些规则以使其更严格。
• 设置：将 安全级别 设置为 高，如果您处于攻击中并且 浏览器完整性检查已启用，则设置为 正在攻击。
• 在 Cloudflare Domains -> Analytics -> Security -> 检查 速率限制 是否启用
• 在 Cloudflare Domains -> Security -> Events -> 检查 检测到的恶意事件

访问

Cloudflare Zero Trust Network

速度

我找不到与安全相关的任何选项

缓存

• 在 配置 部分考虑启用 CSAM 扫描工具

Workers 路由

您应该已经检查过 cloudflare workers

规则

TODO

网络

• 如果 HTTP/2 已 启用，则 HTTP/2 到源 应该 启用
• HTTP/3 (使用 QUIC) 应该 启用
• 如果 用户 的 隐私 重要，请确保 洋葱路由 已 启用

流量

TODO

自定义页面

• 当触发与安全相关的错误时（如阻止、速率限制或我正在攻击模式），配置自定义页面是可选的

应用

TODO

Scrape Shield

• 检查 电子邮件地址模糊化 是否 启用
• 检查 服务器端排除 是否 启用

Zaraz

TODO

Web3

TODO

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 subscription plans!
• 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。