Cloudflare Security

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.

En una cuenta de Cloudflare hay algunas configuraciones y servicios generales que se pueden configurar. En esta página vamos a analizar las configuraciones relacionadas con la seguridad de cada sección:

Websites

Revisa cada uno con:

Cloudflare Domains

Domain Registration

En Transfer Domains verifica que no sea posible transferir ningún dominio.

Revisa cada uno con:

Cloudflare Domains

Analytics

No pude encontrar nada para revisar en una configuración de seguridad.

Workers

En cada worker de Cloudflare verifica:

Los disparadores: ¿Qué hace que el worker se dispare? ¿Puede un usuario enviar datos que serán usados por el worker?
En las Settings, verifica Variables que contengan información sensible.
Verifica el código del worker y busca vulnerabilidades (especialmente en lugares donde el usuario puede gestionar la entrada).
Verifica SSRFs que devuelvan la página indicada que puedes controlar.
Verifica XSSs ejecutando JS dentro de una imagen svg.
Es posible que el worker interactúe con otros servicios internos. Por ejemplo, un worker puede interactuar con un bucket R2 almacenando información obtenida de la entrada. En ese caso, sería necesario verificar qué capacidades tiene el worker sobre el bucket R2 y cómo podría ser abusado desde la entrada del usuario.

Ten en cuenta que por defecto un Worker tiene una URL como <worker-name>.<account>.workers.dev. El usuario puede configurarlo en un subdominio pero siempre puedes acceder a él con esa URL original si la conoces.

R2

En cada bucket R2 verifica:

Configura la CORS Policy.

Stream

TODO

Images

TODO

Security Center

Si es posible, ejecuta un Security Insights scan y un Infrastructure scan, ya que resaltarán información interesante en términos de seguridad.
Solo verifica esta información para configuraciones de seguridad incorrectas e información interesante.

Turnstile

TODO

Zero Trust

Cloudflare Zero Trust Network

Bulk Redirects

A diferencia de Dynamic Redirects, Bulk Redirects son esencialmente estáticos: no soportan operaciones de reemplazo de cadenas ni expresiones regulares. Sin embargo, puedes configurar parámetros de redirección de URL que afecten su comportamiento de coincidencia de URL y su comportamiento en tiempo de ejecución.

Verifica que las expresiones y requisitos para redirecciones tengan sentido.
Verifica también endpoints sensibles ocultos que contengan información interesante.

Notifications

Manage Account

Es posible ver los últimos 4 dígitos de la tarjeta de crédito, el tiempo de expiración y la dirección de facturación en Billing -> Payment info.
Es posible ver el tipo de plan usado en la cuenta en Billing -> Subscriptions.
En Members es posible ver todos los miembros de la cuenta y su rol. Ten en cuenta que si el tipo de plan no es Enterprise, solo existen 2 roles: Administrador y Super Administrador. Pero si el plan usado es Enterprise, más roles pueden ser usados para seguir el principio de menor privilegio.
Por lo tanto, siempre que sea posible se recomienda usar el plan Enterprise.
En Members es posible verificar qué miembros tienen 2FA habilitado. Cada usuario debería tenerlo habilitado.

Ten en cuenta que afortunadamente el rol Administrator no da permisos para gestionar membresías (no puede escalar privilegios ni invitar a nuevos miembros).