cloudflare-domains.md

Domeny Cloudflare

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
• Kup oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź mnie na Twitterze 🐦 @hacktricks_live.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

W każdej skonfigurowanej domenie w Cloudflare można skonfigurować pewne ogólne ustawienia i usługi. Na tej stronie zamierzamy analizować ustawienia związane z bezpieczeństwem w każdej sekcji:

Przegląd

• Zdobądź poczucie jak bardzo usługi konta są używane
• Znajdź również ID strefy i ID konta

Analiza

• W sekcji Bezpieczeństwo sprawdź, czy istnieje jakieś Ograniczenie szybkości

DNS

• Sprawdź interesujące (wrażliwe?) dane w rekordach DNS
• Sprawdź poddomeny, które mogą zawierać wrażliwe informacje tylko na podstawie nazwy (np. admin173865324.domin.com)
• Sprawdź strony internetowe, które nie są proxy
• Sprawdź strony internetowe z proxy, do których można uzyskać bezpośredni dostęp za pomocą CNAME lub adresu IP
• Sprawdź, czy DNSSEC jest włączony
• Sprawdź, czy Splaszczenie CNAME jest używane we wszystkich CNAME
• Może to być przydatne do ukrycia podatności na przejęcie poddomeny i poprawy czasów ładowania
• Sprawdź, czy domeny nie są podatne na podszywanie się

Email

TODO

Spectrum

TODO

SSL/TLS

Przegląd

• Szyfrowanie SSL/TLS powinno być Pełne lub Pełne (Ścisłe). Każde inne spowoduje przesyłanie ruchu w tekście jawnym w pewnym momencie.
• Rekomendowane jest włączenie Rekomendacji SSL/TLS

Certyfikaty Edge

• Zawsze używaj protokołu HTTPS powinno być włączone
• Ścisła polityka transportu HTTP (HSTS) powinna być włączona
• Minimalna wersja TLS powinna wynosić 1.2
• TLS 1.3 powinien być włączony
• Automatyczne przepisywanie na HTTPS powinno być włączone
• Monitorowanie Transparentności Certyfikatów powinno być włączone

Bezpieczeństwo

• W sekcji WAF warto sprawdzić, czy są używane reguły zapory i ograniczenia szybkości w celu zapobiegania nadużyciom.
• Działanie Bypass wyłączy funkcje bezpieczeństwa Cloudflare dla żądania. Nie powinno być używane.
• W sekcji Page Shield zaleca się sprawdzenie, czy jest włączony, jeśli jest używana jakaś strona
• W sekcji API Shield zaleca się sprawdzenie, czy jest włączony, jeśli jakieś API jest wystawione w Cloudflare
• W sekcji DDoS zaleca się włączenie ochrony DDoS
• W sekcji Ustawienia:
• Sprawdź, czy Poziom bezpieczeństwa jest średni lub wyższy
• Sprawdź, czy Przejście wyzwania wynosi maksymalnie 1 godzinę
• Sprawdź, czy Sprawdzanie integralności przeglądarki jest włączone
• Sprawdź, czy Wsparcie dla Privacy Pass jest włączone

Ochrona przed DDoS w CloudFlare

• Jeśli możesz, włącz Tryb Walki z Botami lub Super Tryb Walki z Botami. Jeśli chronisz jakieś API dostępne programowo (na przykład z strony frontowej JS), możesz nie móc tego włączyć bez zakłócania tego dostępu.
• W WAF: Możesz tworzyć limity szybkości według ścieżki URL lub dla zweryfikowanych botów (reguły ograniczania szybkości), lub blokować dostęp na podstawie IP, Cookie, odwołującego się...). Możesz więc blokować żądania, które nie pochodzą z strony internetowej lub nie mają ciasteczka.
• Jeśli atak pochodzi od zweryfikowanego bota, przynajmniej dodaj limit szybkości dla botów.
• Jeśli atak jest na konkretną ścieżkę, jako mechanizm zapobiegawczy, dodaj limit szybkości na tej ścieżce.
• Możesz również uwzględnić na białej liście adresy IP, zakresy IP, kraje lub ASNs z narzędzi w WAF.
• Sprawdź, czy Zarządzane reguły mogą również pomóc w zapobieganiu eksploatacjom podatności.
• W sekcji Narzędzia możesz blokować lub stawiać wyzwania określonym IP i agentom użytkownika.
• W DDoS możesz nadpisać niektóre reguły, aby były bardziej restrykcyjne.
• Ustawienia: Ustaw Poziom bezpieczeństwa na Wysoki i na Atakowany jeśli jesteś Atakowany i upewnij się, że Sprawdzanie integralności przeglądarki jest włączone.
• W Domeny Cloudflare -> Analiza -> Bezpieczeństwo -> Sprawdź, czy jest włączone ograniczenie szybkości
• W Domeny Cloudflare -> Bezpieczeństwo -> Zdarzenia -> Sprawdź wykryte zdarzenia złośliwe

Dostęp

{% content-ref url="cloudflare-zero-trust-network.md" %} cloudflare-zero-trust-network.md {% endcontent-ref %}

Szybkość

Nie znalazłem żadnej opcji związanej z bezpieczeństwem

Buforowanie

• W sekcji Konfiguracja rozważ włączenie Narzędzia Skanowania CSAM

Trasy Workers

Już powinieneś sprawdzić workers Cloudflare

Reguły

TODO

Sieć

• Jeśli HTTP/2 jest włączone, HTTP/2 do źródła powinno być włączone
• HTTP/3 (z QUIC) powinno być włączone
• Jeśli prywatność twoich użytkowników jest ważna, upewnij się, że Onion Routing jest włączony

Ruch

TODO

Strony Niestandardowe

• Opcjonalnie skonfiguruj niestandardowe strony, gdy wystąpi błąd związany z bezpieczeństwem (np. blokada, ograniczenie szybkości lub tryb „Jestem atakowany”)

Aplikacje

TODO

Tarcza Scrapingu

• Sprawdź, czy Zaciemnianie Adresu Email jest włączone
• Sprawdź, czy Wyłączenia Po Stronie Serwera są włączone

Zaraz

TODO

Web3

TODO

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 Grupy Discord lub grupy telegramowej lub śledź mnie na Twitterze 🐦 @hacktricks_live.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.