Cloudflare Domains

Jifunze na zoezi la Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze na zoezi la Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)

unga mkono HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Katika kila TLD iliyowekwa katika Cloudflare kuna vipimo vya jumla na huduma ambazo zinaweza kusanidiwa. Katika ukurasa huu tutachunguza vipimo vinavyohusiana na usalama wa kila sehemu:

Muhtasari

Pata hisia ya kiasi gani cha huduma za akaunti zinatumika
Pata pia kitambulisho cha eneo (zone ID) na kitambulisho cha akaunti (account ID)

Takwimu za Uchambuzi

Katika Usalama angalia kama kuna Upeo wa kiwango wowote

DNS

Angalia data yenye kuvutia (nyeti?) katika rekodi za DNS
Angalia subdomains ambazo zinaweza kuwa na habari nyeti kulingana na jina (kama admin173865324.domin.com)
Angalia kurasa za wavuti ambazo hazijafichwa
Angalia kurasa za wavuti zilizofichwa ambazo zinaweza kupatikana moja kwa moja kupitia CNAME au anwani ya IP
Hakikisha DNSSEC ime wezeshwa
Hakikisha CNAME Flattening ina tumika katika CNAME zote
Hii inaweza kuwa na manufaa kuficha udhaifu wa kuchukua tena kwa subdomain na kuboresha muda wa kupakia
Hakikisha uwanja hauna udhaifu wa kughushi

Barua pepe

TODO

Spectrum

TODO

SSL/TLS

Muhtasari

Ufichamishaji wa SSL/TLS unapaswa kuwa Kamili au Kamili (Thabiti). Vinginevyo itatuma trafiki wazi wakati fulani.
Mshauri wa SSL/TLS unapaswa kuwa umewezeshwa

Vyeti vya Edge

Tumia HTTPS daima inapaswa kuwa imewezeshwa
Usalama Mkali wa Usafirishaji wa HTTP (HSTS) unapaswa kuwa umewezeshwa
Toleo la TLS la chini linapaswa kuwa 1.2
TLS 1.3 inapaswa kuwa imewezeshwa
Uandikishaji wa HTTPS wa Kiotomatiki unapaswa kuwa umewezeshwa
Ufuatiliaji wa Uandikishaji wa Cheti unapaswa kuwa umewezeshwa

Usalama

Kinga ya DDoS ya CloudFlare

Ikiwezekana, wezesha Hali ya Kupambana na Boti au Hali ya Kupambana na Boti ya Super. Ikiwa unalinda programu fulani ya API inayopatikana kiotomatiki (kutoka kwa ukurasa wa mbele wa JS kwa mfano). Huenda usiweze kuwezesha hii bila kuvunja ufikiaji huo.
Katika WAF: Unaweza kuunda vipimo vya kiwango kwa njia ya URL au kwa boti zilizothibitishwa (kanuni za upeo wa kiwango), au kwa kuzuia ufikiaji kulingana na IP, Cookie, referrer...). Kwa hivyo unaweza kuzuia maombi ambayo hayatoki kwenye ukurasa wa wavuti au ina cookie.
Ikiwa shambulio linatoka kwa boti iliyethibitishwa, angalau ongeza kikomo cha kiwango kwa boti.
Ikiwa shambulio ni kwa njia maalum, kama kinga ya kuzuia, ongeza kikomo cha kiwango kwenye njia hii.
Unaweza pia kuweka safi anwani za IP, safu za IP, nchi au ASNs kutoka kwa Zana katika WAF.
Angalia ikiwa kanuni zilizosimamiwa zinaweza pia kusaidia kuzuia utumiaji wa udhaifu.
Katika sehemu ya Zana unaweza kuzuia au kutoa changamoto kwa anwani za IP na wakala wa mtumiaji.
Katika DDoS unaweza kubadilisha baadhi ya kanuni kuwa ngumu zaidi.
Vipimo: Weka Kiwanja cha Usalama kuwa Kali na kuwa Chini ya Shambulio ikiwa uko Chini ya Shambulio na kwamba Uchunguzi wa Uadilifu wa Kivinjari umewezeshwa.
Katika Domaini za Cloudflare -> Takwimu -> Usalama -> Angalia ikiwa kikomo cha kiwango kime wezeshwa
Katika Domaini za Cloudflare -> Usalama -> Matukio -> Angalia kwa Matukio mabaya yaliyogunduliwa

Upatikanaji

Cloudflare Zero Trust Network

Kasi

Singeweza kupata chaguo lolote linalohusiana na usalama

Kuhifadhi

Katika sehemu ya Usanidi fikiria kuwezesha Zana ya Uchunguzi wa CSAM

Njia za Wafanyakazi

Tayari unapaswa kuchunguza wafanyakazi wa cloudflare

Kanuni

TODO

Mtandao

Ikiwa HTTP/2 ime wezeshwa, HTTP/2 kwa Chanzo inapaswa kuwa imewezeshwa
HTTP/3 (na QUIC) inapaswa kuwa imewezeshwa
Ikiwa faragha ya watumiaji wako ni muhimu, hakikisha Onion Routing ime wezeshwa

Trafiki

TODO

Kurasa za Desturi

Ni hiari kuweka kurasa za desturi wakati kosa linalohusiana na usalama linapotokea (kama kuzuia, kikomo cha kiwango au niko chini ya hali ya shambulio)