Cloudflare Domains
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Em cada TLD configurado no Cloudflare, existem algumas configurações e serviços gerais que podem ser configurados. Nesta página, vamos analisar as configurações relacionadas à segurança de cada seção:
TODO
TODO
Se puder, ative o Modo de Luta contra Bots ou Modo de Luta contra Super Bots. Se você estiver protegendo alguma API acessada programaticamente (de uma página front-end JS, por exemplo). Você pode não conseguir ativar isso sem quebrar esse acesso.
Em WAF: Você pode criar limites de taxa por caminho de URL ou para bots verificados (regras de limitação de taxa), ou bloquear acesso com base em IP, Cookie, referenciador...). Assim, você poderia bloquear solicitações que não vêm de uma página da web ou não têm um cookie.
Se o ataque for de um bot verificado, pelo menos adicione um limite de taxa para bots.
Se o ataque for a um caminho específico, como mecanismo de prevenção, adicione um limite de taxa nesse caminho.
Você também pode colocar na lista branca endereços IP, intervalos de IP, países ou ASNs nas Ferramentas no WAF.
Verifique se as Regras Gerenciadas também podem ajudar a prevenir explorações de vulnerabilidades.
Na seção Ferramentas, você pode bloquear ou dar um desafio a IPs específicos e agentes de usuário.
Em DDoS, você pode substituir algumas regras para torná-las mais restritivas.
Configurações: Defina o Nível de Segurança como Alto e para Sob Ataque se você estiver Sob Ataque e que a Verificação de Integridade do Navegador está ativada.
Em Domínios Cloudflare -> Análise -> Segurança -> Verifique se a limitação de taxa está ativada
Em Domínios Cloudflare -> Segurança -> Eventos -> Verifique se há Eventos maliciosos detectados
Não consegui encontrar nenhuma opção relacionada à segurança
Você já deve ter verificado cloudflare workers
TODO
TODO
TODO
TODO
TODO
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)