Cloudflare Domains

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい場合や HackTricks をPDFでダウンロードしたい場合は SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksスウォッグを入手
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
💬 Discordグループ に参加するか、telegramグループに参加するか、Twitter 🐦 で @hacktricks_live をフォローする
ハッキングトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

Cloudflare で構成された各TLDには、構成できる 一般設定とサービス があります。このページでは、各セクションの セキュリティ関連設定 を分析します。

概要

アカウントのサービスの 使用状況 を把握する
ゾーンID と アカウントID も見つける

アナリティクス

セキュリティ で レート制限 があるかどうかを確認する

DNS

DNS レコード に 興味深い（機密性の高い？）データがないかをチェックする
名前に基づいて 機密情報 を含む可能性がある サブドメイン をチェックする（例：admin173865324.domin.com）
プロキシされていない ウェブページをチェックする
プロキシされたウェブページ が CNAME またはIPアドレスで 直接アクセス できるかをチェックする
DNSSEC が有効であることを確認する
すべてのCNAMEで CNAMEフラットニング が使用されていることを確認する
これは サブドメイン乗っ取りの脆弱性を隠す ために役立つ可能性があり、読み込み時間を改善する
ドメインが スプーフィングに脆弱でない ことを確認する

Email

TODO

Spectrum

TODO

SSL/TLS

概要

SSL/TLS暗号化 は Full または Full (Strict) である必要があります。それ以外の場合、ある時点で クリアテキストトラフィック が送信されます。
SSL/TLS推奨 が有効になっていることを確認する

エッジ証明書

常にHTTPSを使用 する必要があります
HTTP Strict Transport Security (HSTS) が有効である必要があります
最小TLSバージョン は 1.2 である必要があります
TLS 1.3 が有効になっている必要があります
自動HTTPSリライト が有効である必要があります
証明書透明性モニタリング が有効である必要があります

セキュリティ

CloudFlare DDoS保護

可能であれば、Bot Fight Mode または Super Bot Fight Mode を有効にします。例えば、JSフロントエンドページからプログラム的にアクセスされるAPIを保護している場合、この設定を有効にできない場合があります。
WAF では、 URLパスごとのレート制限 や 検証済みボット によるレート制限ルールを作成したり、IP、Cookie、リファラに基づいてアクセスを ブロック したりすることができます。したがって、Webページからのリクエストでない場合やCookieがない場合などのリクエストをブロックできます。
攻撃が 検証済みボット からの場合、少なくともボットに レート制限 を追加します。
攻撃が 特定のパス に対して行われる場合、このパスに レート制限 を追加することで予防策として追加できます。
ツール のWAFからIPアドレス、IP範囲、国、ASNを ホワイトリスト に登録できます。
管理されたルール が脆弱性の悪用を防ぐのに役立つかどうかを確認できます。
ツール セクションでは、特定のIPアドレスやユーザーエージェントに ブロックまたはチャレンジ を与えることができます。
DDoSでは、一部のルールをより制限的にするために 一部のルールをオーバーライド することができます。
設定: セキュリティレベル を高に設定し、攻撃を受けている場合は 攻撃中 に設定し、 ブラウザインテグリティチェックが有効 であることを確認します。
Cloudflare ドメイン -> アナリティクス -> セキュリティ -> レート制限 が有効になっているかを確認します
Cloudflare ドメイン -> セキュリティ -> イベント -> 検出された悪意のあるイベント を確認します

アクセス

pageCloudflare Zero Trust Network

速度

セキュリティに関連するオプションは見つかりませんでした

キャッシュ

構成 セクションで CSAMスキャンツール を有効にすることを検討してください

ワーカールート

すでに cloudflare workers をチェックしているはずです

ルール

TODO

ネットワーク

HTTP/2 が有効になっている場合、HTTP/2 to Origin も有効にする必要があります
HTTP/3（QUICを使用） が有効になっている必要があります
ユーザーの プライバシー が重要な場合は、 Onion Routing が有効であることを確認してください

トラフィック

TODO

カスタムページ

セキュリティに関連するエラーがトリガーされた場合にカスタムページを構成することがオプションです（ブロック、レート制限、攻撃中モードなど）

アプリ

TODO

スクレイプシールド

メールアドレスの曖昧化 が有効であることを確認する
サーバーサイド除外 が有効であることを確認する

Zaraz

TODO

Web3

TODO

**htARTE (HackTricks AWS Red Team Expert)** でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したい または HackTricksをPDFでダウンロードしたい 場合は SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的な NFTs のコレクションを見つける
**💬 Discordグループ に参加するか、telegramグループ に参加するか、Twitter 🐦 @hacktricks_live をフォローする
ハッキングトリックを共有するには、 HackTricks と HackTricks Cloud のGitHubリポジトリにPRを提出してください。

前へCloudflare Security 次へCloudflare Zero Trust Network

最終更新 1 か月前