Cloudflare Domains
Last updated
Last updated
Apprenez et pratiquez le Hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Dans chaque TLD configuré dans Cloudflare, il y a quelques paramètres généraux et services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :
TODO
TODO
Si vous le pouvez, activez le Mode de combat contre les bots ou le Mode de combat contre les super bots. Si vous protégez une API accessible de manière programmatique (depuis une page frontale JS par exemple). Vous pourriez ne pas être en mesure d'activer cela sans rompre cet accès.
Dans WAF : Vous pouvez créer des limites de taux par chemin d'URL ou pour des bots vérifiés (règles de limitation de taux), ou pour bloquer l'accès basé sur IP, Cookie, référent...). Ainsi, vous pourriez bloquer les requêtes qui ne proviennent pas d'une page web ou qui n'ont pas de cookie.
Si l'attaque provient d'un bot vérifié, au moins ajoutez une limite de taux aux bots.
Si l'attaque est dirigée vers un chemin spécifique, comme mécanisme de prévention, ajoutez une limite de taux dans ce chemin.
Vous pouvez également mettre sur liste blanche des adresses IP, des plages IP, des pays ou des ASN depuis les Outils dans WAF.
Vérifiez si les règles gérées pourraient également aider à prévenir les exploitations de vulnérabilités.
Dans la section Outils, vous pouvez bloquer ou donner un défi à des IP spécifiques et agents utilisateurs.
Dans DDoS, vous pourriez remplacer certaines règles pour les rendre plus restrictives.
Paramètres : Réglez le Niveau de sécurité sur Élevé et sur Sous attaque si vous êtes sous attaque et que la Vérification de l'intégrité du navigateur est activée.
Dans Domaines Cloudflare -> Analytique -> Sécurité -> Vérifiez si la limite de taux est activée
Dans Domaines Cloudflare -> Sécurité -> Événements -> Vérifiez les événements malveillants détectés
Je n'ai trouvé aucune option liée à la sécurité
Vous devriez déjà avoir vérifié cloudflare workers
TODO
TODO
TODO
TODO
TODO
Apprenez et pratiquez le Hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)