Cloudflare Domains
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
En cada TLD configurado en Cloudflare hay algunas configuraciones y servicios generales que se pueden configurar. En esta página vamos a analizar las configuraciones relacionadas con la seguridad de cada sección:
TODO
TODO
Si puedes, habilita Bot Fight Mode o Super Bot Fight Mode. Si estás protegiendo alguna API accesada programáticamente (desde una página de frontend JS, por ejemplo). Puede que no puedas habilitar esto sin romper ese acceso.
En WAF: Puedes crear límites de tasa por ruta de URL o para bots verificados (reglas de limitación de tasa), o bloquear acceso basado en IP, Cookie, referidor...). Así que podrías bloquear solicitudes que no provengan de una página web o que no tengan una cookie.
Si el ataque proviene de un bot verificado, al menos agrega un límite de tasa a los bots.
Si el ataque es a una ruta específica, como mecanismo de prevención, agrega un límite de tasa en esta ruta.
También puedes blanquear direcciones IP, rangos de IP, países o ASN desde las Herramientas en WAF.
Verifica si las Reglas Administradas también podrían ayudar a prevenir explotaciones de vulnerabilidades.
En la sección Herramientas puedes bloquear o dar un desafío a IPs específicas y agentes de usuario.
En DDoS podrías anular algunas reglas para hacerlas más restrictivas.
Configuraciones: Establece el Nivel de Seguridad en Alto y en Bajo Ataque si estás Bajo Ataque y que la Verificación de Integridad del Navegador esté habilitada.
En Dominios de Cloudflare -> Analítica -> Seguridad -> Verifica si la limitación de tasa está habilitada
En Dominios de Cloudflare -> Seguridad -> Eventos -> Verifica si hay Eventos maliciosos detectados
No pude encontrar ninguna opción relacionada con la seguridad
Ya deberías haber revisado cloudflare workers
TODO
TODO
TODO
TODO
TODO
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)