Cloudflare Domains
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
W każdej TLD skonfigurowanej w Cloudflare znajdują się ogólne ustawienia i usługi, które można skonfigurować. Na tej stronie zamierzamy analizować ustawienia związane z bezpieczeństwem w każdej sekcji:
TODO
TODO
Jeśli możesz, włącz Tryb walki z botami lub Super Tryb walki z botami. Jeśli chronisz jakieś API dostępne programowo (na przykład z strony frontowej JS). Możesz nie być w stanie włączyć tego bez przerwania tego dostępu.
W WAF: Możesz tworzyć ograniczenia liczby połączeń według ścieżki URL lub dla zweryfikowanych botów (zasady ograniczenia liczby połączeń), lub blokować dostęp na podstawie IP, Cookie, referrera...). Możesz więc blokować żądania, które nie pochodzą z strony internetowej lub nie mają cookie.
Jeśli atak pochodzi od zweryfikowanego bota, przynajmniej dodaj ograniczenie liczby połączeń dla botów.
Jeśli atak dotyczy konkretnej ścieżki, jako mechanizm zapobiegawczy, dodaj ograniczenie liczby połączeń w tej ścieżce.
Możesz również dodać do białej listy adresy IP, zakresy IP, kraje lub ASN-y w Narzędziach w WAF.
Sprawdź, czy Zarządzane zasady mogą również pomóc w zapobieganiu wykorzystaniu podatności.
W sekcji Narzędzia możesz blokować lub stawiać wyzwanie dla konkretnych IP i agentów użytkowników.
W DDoS możesz nadpisać niektóre zasady, aby były bardziej restrykcyjne.
Ustawienia: Ustaw Poziom bezpieczeństwa na Wysoki i na Pod atakiem, jeśli jesteś pod atakiem i Sprawdzanie integralności przeglądarki jest włączone.
W Cloudflare Domains -> Analiza -> Bezpieczeństwo -> Sprawdź, czy ograniczenie liczby połączeń jest włączone
W Cloudflare Domains -> Bezpieczeństwo -> Wydarzenia -> Sprawdź, czy są wykryte złośliwe wydarzenia
Nie mogłem znaleźć żadnej opcji związanej z bezpieczeństwem
Powinieneś już sprawdzić cloudflare workers
TODO
TODO
TODO
TODO
TODO
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)