Cloudflare Domains

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

У кожному TLD, налаштованому в Cloudflare, є деякі загальні налаштування та сервіси, які можна налаштувати. На цій сторінці ми будемо аналізувати налаштування, пов'язані з безпекою, кожного розділу:

Огляд

Отримати уявлення про те, наскільки сервіси облікового запису використовуються
Також знайти zone ID та account ID

Аналітика

У Security перевірте, чи є будь-яке обмеження швидкості

DNS

Перевірте цікаві (чутливі?) дані в DNS записах
Перевірте наявність субдоменів, які можуть містити чутливу інформацію лише на основі імені (наприклад, admin173865324.domin.com)
Перевірте веб-сторінки, які не є проксованими
Перевірте проксовані веб-сторінки, до яких можна доступитися безпосередньо за допомогою CNAME або IP-адреси
Перевірте, що DNSSEC увімкнено
Перевірте, що CNAME Flattening використовується в усіх CNAME
Це може бути корисно для приховування вразливостей захоплення субдоменів та покращення часу завантаження
Перевірте, що домени не вразливі до спуфінгу

Електронна пошта

TODO

Spectrum

TODO

SSL/TLS

Огляд

SSL/TLS шифрування має бути Повним або Повним (Суворим). Будь-який інший варіант на деякому етапі відправить трафік у відкритому тексті.
SSL/TLS Рекомендатор має бути увімкнено

Сертифікати Edge

Завжди використовувати HTTPS має бути увімкнено
HTTP Strict Transport Security (HSTS) має бути увімкнено
Мінімальна версія TLS має бути 1.2
TLS 1.3 має бути увімкнено
Автоматичні переписування HTTPS мають бути увімкнені
Моніторинг прозорості сертифікатів має бути увімкнено

Безпека

Захист DDoS CloudFlare

Якщо можете, увімкніть Bot Fight Mode або Super Bot Fight Mode. Якщо ви захищаєте якийсь API, доступний програмно (наприклад, з JS фронтенд-сторінки). Ви можете не мати можливості увімкнути це, не порушуючи цей доступ.
У WAF: Ви можете створити обмеження швидкості за URL-адресою або для перевірених ботів (правила обмеження швидкості), або блокувати доступ на основі IP, Cookie, реферера...). Тож ви можете блокувати запити, які не надходять з веб-сторінки або не мають cookie.
Якщо атака з перевіреного бота, принаймні додайте обмеження швидкості для ботів.
Якщо атака на конкретний шлях, як механізм запобігання, додайте обмеження швидкості в цьому шляху.
Ви також можете додати до білого списку IP-адреси, діапазони IP, країни або ASN у Інструментах в WAF.
Перевірте, чи Керовані правила також можуть допомогти запобігти експлуатації вразливостей.
У розділі Інструменти ви можете блокувати або ставити виклик конкретним IP та агентам користувача.
У DDoS ви можете перезаписати деякі правила, щоб зробити їх більш обмежувальними.
Налаштування: Встановіть Security Level на Високий та на Під атакою, якщо ви під атакою, і щоб Browser Integrity Check був увімкнений.
У Cloudflare Domains -> Analytics -> Security -> Перевірте, чи увімкнено обмеження швидкості
У Cloudflare Domains -> Security -> Events -> Перевірте наявність виявлених шкідливих подій

Доступ

Cloudflare Zero Trust Network

Швидкість

Я не зміг знайти жодної опції, пов'язаної з безпекою

Кешування

У розділі Configuration розгляньте можливість увімкнення CSAM Scanning Tool

Маршрути Workers

Ви вже повинні були перевірити cloudflare workers

Правила

TODO

Мережа

Якщо HTTP/2 увімкнено, HTTP/2 to Origin має бути увімкнено
HTTP/3 (з QUIC) має бути увімкнено
Якщо конфіденційність ваших користувачів важлива, переконайтеся, що Onion Routing увімкнено

Трафік

TODO

Користувацькі сторінки

Налаштування користувацьких сторінок, коли виникає помилка, пов'язана з безпекою (наприклад, блокування, обмеження швидкості або я під атакою), є необов'язковим