Cloudflare Security

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Katika akaunti ya Cloudflare kuna vipimo vya jumla na huduma ambavyo vinaweza kusanidiwa. Katika ukurasa huu tutachunguza vipimo vinavyohusiana na usalama wa kila sehemu:

Tovuti

Pitia kila moja na:

pageCloudflare Domains

Usajili wa Kikoa

Katika **Hama Viko** hakikisha haiwezekani kuhama kikoa chochote.

Pitia kila moja na:

pageCloudflare Domains

Takwimu

Singeweza kupata chochote cha kuangalia kwa ukaguzi wa usalama wa usanidi.

Kurasa

Kwenye kila ukurasa wa Cloudflare:

Angalia kwa habari nyeti kwenye Logi ya Kujenga.
Angalia kwa habari nyeti kwenye repo ya Github iliyoainishwa kwa kurasa.
Angalia kwa uwezekano wa kudukuliwa kwa repo ya github kupitia kuingiza amri ya kazi au kudukuliwa kwa pull_request_target. Taarifa zaidi kwenye Ukurasa wa Usalama wa Github.
Angalia kwa kazi zenye udhaifu kwenye saraka ya /fuctions (ikiwapo zipo), angalia urekebishaji kwenye faili ya _urekebishaji (ikiwapo zipo) na vipala vilivyopangwa vibaya kwenye faili ya _headers (ikiwapo zipo).
Angalia kwa udhaifu kwenye ukurasa wa wavuti kupitia blackbox au whitebox ikiwa unaweza kufikia nambari
Katika maelezo ya kila ukurasa /<page_id>/pages/view/blocklist/settings/functions. Angalia kwa habari nyeti kwenye Mazingira ya Mazingira.
Kwenye ukurasa wa maelezo angalia pia amri ya kujenga na saraka kuu kwa kuingiza vitu vya kudukua ukurasa.

Wafanyikazi

Kwenye kila wafanyikazi wa Cloudflare angalia:

Vichocheo: Nini kinachofanya wafanyikazi wachukue hatua? Je, mtumiaji anaweza kutuma data ambayo itatumika na mfanyikazi?
Katika Vipimo, angalia Vipengele vinavyo habari nyeti
Angalia nambari ya mfanyikazi na utafute udhaifu (hasa mahali ambapo mtumiaji anaweza kusimamia kuingia)
Angalia kwa SSRFs kurudi kwenye ukurasa ulioonyeshwa ambao unaweza kuudhibiti
Angalia XSSs zinazotekeleza JS ndani ya picha ya svg

Tambua kwamba kwa chaguo-msingi Mfanyikazi hupewa URL kama <jina-la-mfanyikazi>.<akaunti>.workers.dev. Mtumiaji anaweza kuweka kama subdomain lakini unaweza kila wakati kufikia kwa kutumia URL ya awali ikiwa unaijua.

R2

TODO

Mtiririko

TODO

Picha

TODO

Kituo cha Usalama

Ikiwezekana, endesha Uchunguzi wa Usalama na Uchunguzi wa Miundombinu, kwani itaonyesha habari ya kuvutia kiusalama.
Tu angalia habari hii kwa ajili ya makosa ya usanidi wa usalama na habari ya kuvutia

Turnstile

TODO

Zero Trust

pageCloudflare Zero Trust Network

Uelekezaji wa Wingi

Tofauti na Uelekezaji wa Kudumu, Uelekezaji wa Wingi kimsingi ni tuli - hauungi mkono operesheni yoyote ya kubadilisha herufi au taratibu za kawaida. Walakini, unaweza kusanidi vigezo vya uelekezaji wa URL vinavyoathiri tabia yao ya kupatana na URL na tabia yao ya wakati wa uendeshaji.

Hakikisha maelezo na mahitaji ya uelekezaji yanafanya maana.
Angalia pia kwa vituo vya siri vilivyofichwa ambavyo vinaweza kuwa na habari ya kuvutia.

Arifa

Simamia Akaunti

Inawezekana kuona nambari za mwisho za kadi ya mkopo, muda wa kumalizika na anwani ya malipo katika Bili -> Maelezo ya Malipo.
Inawezekana kuona aina ya mpango inayotumiwa kwenye akaunti katika Bili -> Vipindi vya Usajili.
Katika Wanachama inawezekana kuona wanachama wote wa akaunti na jukumu zao. Kumbuka kwamba ikiwa aina ya mpango si Enterprise, kuna majukumu 2 tu: Msimamizi na Msimamizi Mkuu. Lakini ikiwa mpango uliotumiwa ni Enterprise, majukumu zaidi yanaweza kutumika kufuata kanuni ya chini ya haki.
Kwa hivyo, kadri inavyowezekana ni inashauriwa kutumia mpango wa Enterprise.
Katika Wanachama inawezekana kuangalia ni wanachama gani wana 2FA imewezeshwa. Kila mtumiaji anapaswa kuwa nayo imewezeshwa.

Tambua kwamba bahati nzuri jukumu la Msimamizi halitoi ruhusa ya kusimamia wanachama (hawezi kuongeza haki au kuwaalika wanachama wapya)

## Uchunguzi wa DDoS

Angalia sehemu hii.

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAtlantis Security NextCloudflare Domains

Last updated 1 month ago