Cloudflare Domains
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloudflareに設定された各TLDには、いくつかの一般設定とサービスが構成できます。このページでは、各セクションのセキュリティ関連設定を分析します。
TODO
TODO
可能であれば、ボットファイトモードまたはスーパーボットファイトモードを有効にしてください。プログラム的にアクセスされるAPIを保護している場合(例えば、JSフロントエンドページから)。そのアクセスを壊さずにこれを有効にできないかもしれません。
WAFでは、URLパスによるレート制限を作成することができます。または確認済みボット(レート制限ルール)に対して、またはIP、クッキー、リファラーに基づいてアクセスをブロックすることができます。したがって、ウェブページから来ないリクエストやクッキーを持たないリクエストをブロックできます。
攻撃が確認済みボットからの場合、少なくともボットに対してレート制限を追加してください。
攻撃が特定のパスに対するものであれば、予防策としてこのパスにレート制限を追加してください。
ツールからIPアドレス、IP範囲、国、またはASNをホワイトリストに追加することもできます。
管理ルールが脆弱性の悪用を防ぐのに役立つかどうか確認してください。
ツールセクションでは、特定のIPやユーザーエージェントに対してブロックまたはチャレンジを与えることができます。
DDoSでは、ルールをオーバーライドしてより制限的にすることができます。
設定:セキュリティレベルを高に設定し、攻撃中の場合は攻撃中モードに設定し、ブラウザ整合性チェックが有効であることを確認してください。
Cloudflare Domains -> Analytics -> Security -> レート制限が有効か確認する
Cloudflare Domains -> Security -> Events -> 検出された悪意のあるイベントを確認する
セキュリティに関連するオプションは見つかりませんでした
すでに cloudflare workers を確認しているはずです
TODO
TODO
TODO
TODO
TODO
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)