Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an dieHackTricks und HackTricks Cloud GitHub-Repositories einreichen.
In jedem in Cloudflare konfigurierten TLD gibt es einige allgemeine Einstellungen und Dienste, die konfiguriert werden können. Auf dieser Seite werden wir die sicherheitsrelevanten Einstellungen jeder Sektion analysieren:
Überblick
Analytik
DNS
E-Mail
TODO
Spectrum
TODO
SSL/TLS
Überblick
Edge-Zertifikate
Sicherheit
CloudFlare DDoS-Schutz
Wenn möglich, aktivieren Sie den Bot Fight Mode oder den Super Bot Fight Mode. Wenn Sie eine API schützen, die programmgesteuert aufgerufen wird (z. B. von einer JS-Frontend-Seite). Möglicherweise können Sie dies nicht aktivieren, ohne diesen Zugriff zu unterbrechen.
Im WAF: Sie können Rate-Limits nach URL-Pfad oder für verifizierte Bots (Rate-Limiting-Regeln) erstellen oder den Zugriff basierend auf IP, Cookie, Referrer... blockieren). So könnten Sie Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben.
Wenn der Angriff von einem verifizierten Bot ausgeht, fügen Sie zumindest Rate-Limits für Bots hinzu.
Wenn der Angriff auf einen spezifischen Pfad erfolgt, fügen Sie als Präventionsmechanismus ein Rate-Limit in diesem Pfad hinzu.
Sie können IP-Adressen, IP-Bereiche, Länder oder ASNs aus den Tools im WAF whitelisten.
Überprüfen Sie, ob Managed Rules auch dazu beitragen könnten, Schwachstellen-Exploits zu verhindern.
Im Abschnitt Tools können Sie bestimmten IPs und User Agents den Zugriff blockieren oder eine Herausforderung geben.
Im DDoS können Sie einige Regeln überschreiben, um sie restriktiver zu gestalten.
Einstellungen: Setzen Sie den Sicherheitslevel auf Hoch und auf Unter Angriff, wenn Sie unter Angriff stehen, und stellen Sie sicher, dass die Browser-Integritätsprüfung aktiviert ist.
In Cloudflare-Domains -> Analytik -> Sicherheit -> Überprüfen Sie, ob Rate-Limiting aktiviert ist
In Cloudflare-Domains -> Sicherheit -> Ereignisse -> Überprüfen Sie auf erkannte bösartige Ereignisse