Cloudflare Zero Trust Network

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 subscription plans!
• 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。

在 Cloudflare Zero Trust Network 账户中，有一些 设置和服务 可以进行配置。在本页面中，我们将 分析每个部分的安全相关设置：

Analytics

• 有助于 了解环境

Gateway

• 在 Policies 中，可以生成策略以 限制 通过 DNS、网络 或 HTTP 请求访问应用程序的用户。
• 如果使用，策略 可以创建以 限制 访问恶意网站。
• 这 仅在使用网关时相关，如果不使用，则没有理由创建防御性策略。

Access

Applications

在每个应用程序上：

• 检查 谁 可以访问该应用程序的 Policies，并确保 只有 需要访问该应用程序的 用户 可以访问。
• 要允许访问，将使用 Access Groups（也可以设置 附加规则）
• 检查 可用的身份提供者，确保它们 不太开放
• 在 Settings 中：
• 检查 CORS 未启用（如果启用，检查它是否 安全，并且不允许所有内容）
• Cookies 应具有 Strict Same-Site 属性，HTTP Only 和 绑定 cookie 应在应用程序为 HTTP 时 启用。
• 考虑启用 浏览器渲染 以获得更好的 保护。更多信息请参见 远程浏览器隔离。

Access Groups

• 检查生成的访问组是否 正确限制 了它们应该允许的用户。
• 特别重要的是检查 默认访问组不太开放（不允许太多人），因为 默认情况下 该 组 中的任何人都将能够 访问应用程序。
• 请注意，可以给 每个人 和其他 非常开放的政策 赋予 访问权限，除非 100% 必要，否则不推荐。

Service Auth

• 检查所有服务令牌 在 1 年或更短时间内过期

Tunnels

TODO

My Team

TODO

Logs

• 您可以搜索用户的 意外操作

Settings

• 检查 计划类型
• 可以查看 信用卡持有者姓名、最后 4 位数字、到期 日期和 地址
• 建议 添加用户座位到期 以移除不真正使用此服务的用户

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 subscription plans!
• 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。