Cloudflare Domains
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Katika kila TLD iliyowekwa kwenye Cloudflare kuna mipangilio na huduma za jumla ambazo zinaweza kuwekwa. Katika ukurasa huu tutachambua mipangilio inayohusiana na usalama ya kila sehemu:
TODO
TODO
Ikiwa unaweza, wezesha Bot Fight Mode au Super Bot Fight Mode. Ikiwa unalinda API fulani inayopatikana kwa njia ya programu (kutoka ukurasa wa mbele wa JS kwa mfano). Huenda usiweze kuwezesha hii bila kuvunja ufikiaji huo.
Katika WAF: Unaweza kuunda mipaka ya kiwango kwa njia ya URL au kwa bots zilizothibitishwa (kanuni za rate limiting), au kuzuia ufikiaji kulingana na IP, Cookie, referrer...). Hivyo unaweza kuzuia maombi ambayo hayajatoka kwenye ukurasa wa wavuti au yana cookie.
Ikiwa shambulio linatoka kwa bot iliyothibitishwa, angalau ongeza kiwango cha mipaka kwa bots.
Ikiwa shambulio linahusiana na njia maalum, kama njia ya kuzuia, ongeza mipaka ya kiwango katika njia hii.
Unaweza pia kuongeza orodha ya IP anwani, anuwai za IP, nchi au ASNs kutoka Zana katika WAF.
Angalia ikiwa Managed rules zinaweza pia kusaidia kuzuia matumizi mabaya ya udhaifu.
Katika sehemu ya Zana unaweza kuzuia au kutoa changamoto kwa IP maalum na vifaa vya mtumiaji.
Katika DDoS unaweza kuzidisha baadhi ya kanuni ili kuzifanya kuwa kali zaidi.
Settings: Weka Security Level kuwa Juu na kuwa Under Attack ikiwa uko chini ya shambulio na kwamba Browser Integrity Check imewezeshwa.
Katika Cloudflare Domains -> Analytics -> Security -> Angalia ikiwa rate limit imewezeshwa
Katika Cloudflare Domains -> Security -> Events -> Angalia kwa matukio mabaya yaliyogunduliwa
Haikuweza kupata chaguo lolote linalohusiana na usalama
Unapaswa kuwa umeshakagua cloudflare workers
TODO
TODO
TODO
TODO
TODO
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)