Cloudflare Domains
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
In ogni TLD configurato in Cloudflare ci sono alcune impostazioni generali e servizi che possono essere configurati. In questa pagina andremo a analizzare le impostazioni relative alla sicurezza di ciascuna sezione:
TODO
TODO
Se puoi, abilita Bot Fight Mode o Super Bot Fight Mode. Se stai proteggendo qualche API accessibile programmaticamente (da una pagina front end JS, ad esempio). Potresti non essere in grado di abilitare questo senza interrompere quell'accesso.
In WAF: Puoi creare limiti di rate per percorso URL o per bot verificati (regole di rate limiting), o per bloccare l'accesso in base a IP, Cookie, referrer...). Quindi potresti bloccare richieste che non provengono da una pagina web o non hanno un cookie.
Se l'attacco proviene da un bot verificato, almeno aggiungi un limite di rate ai bot.
Se l'attacco è a un percorso specifico, come meccanismo di prevenzione, aggiungi un limite di rate in questo percorso.
Puoi anche whitelistare indirizzi IP, intervalli IP, paesi o ASN dagli Strumenti in WAF.
Controlla se le regole gestite potrebbero anche aiutare a prevenire sfruttamenti di vulnerabilità.
Nella sezione Strumenti puoi bloccare o dare una sfida a IP specifici e user agents.
In DDoS potresti sovrascrivere alcune regole per renderle più restrittive.
Impostazioni: Imposta il Security Level su Alto e su Under Attack se sei sotto attacco e che il Browser Integrity Check è abilitato.
In Cloudflare Domains -> Analytics -> Security -> Controlla se il rate limit è abilitato
In Cloudflare Domains -> Security -> Events -> Controlla per Eventi malevoli rilevati
Non sono riuscito a trovare alcuna opzione relativa alla sicurezza
Dovresti aver già controllato cloudflare workers
TODO
TODO
TODO
TODO
TODO
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)