# Cloudflare Domains {{#include ../../banners/hacktricks-training.md}} In ogni TLD configurato in Cloudflare ci sono alcune **impostazioni generali e servizi** che possono essere configurati. In questa pagina andremo ad **analizzare le impostazioni relative alla sicurezza di ciascuna sezione:**
### Overview - [ ] Fai un'idea di **quanto** sono **utilizzati** i servizi dell'account - [ ] Trova anche il **zone ID** e il **account ID** ### Analytics - [ ] In **`Security`** controlla se ci sono **Rate limiting** ### DNS - [ ] Controlla i dati **interessanti** (sensibili?) nei **record** DNS - [ ] Controlla i **sottodomini** che potrebbero contenere **informazioni sensibili** solo in base al **nome** (come admin173865324.domin.com) - [ ] Controlla le pagine web che **non sono** **proxied** - [ ] Controlla le **pagine web proxificate** che possono essere **accessibili direttamente** tramite CNAME o indirizzo IP - [ ] Controlla che **DNSSEC** sia **abilitato** - [ ] Controlla che **CNAME Flattening** sia **utilizzato** in **tutti i CNAME** - Questo potrebbe essere utile per **nascondere vulnerabilità di takeover dei sottodomini** e migliorare i tempi di caricamento - [ ] Controlla che i domini [**non siano vulnerabili a spoofing**](https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html#mail-spoofing) ### **Email** TODO ### Spectrum TODO ### SSL/TLS #### **Overview** - [ ] La **crittografia SSL/TLS** dovrebbe essere **Full** o **Full (Strict)**. Qualsiasi altra opzione invierà **traffico in chiaro** a un certo punto. - [ ] Il **SSL/TLS Recommender** dovrebbe essere abilitato #### Edge Certificates - [ ] **Always Use HTTPS** dovrebbe essere **abilitato** - [ ] **HTTP Strict Transport Security (HSTS)** dovrebbe essere **abilitato** - [ ] **La versione minima di TLS dovrebbe essere 1.2** - [ ] **TLS 1.3 dovrebbe essere abilitato** - [ ] **Automatic HTTPS Rewrites** dovrebbe essere **abilitato** - [ ] **Certificate Transparency Monitoring** dovrebbe essere **abilitato** ### **Security** - [ ] Nella sezione **`WAF`** è interessante controllare che le **regole di Firewall** e **rate limiting** siano utilizzate per prevenire abusi. - L'azione **`Bypass`** disabiliterà le funzionalità di sicurezza di Cloudflare per una richiesta. Non dovrebbe essere utilizzata. - [ ] Nella sezione **`Page Shield`** è consigliato controllare che sia **abilitato** se viene utilizzata una pagina - [ ] Nella sezione **`API Shield`** è consigliato controllare che sia **abilitato** se viene esposta un'API in Cloudflare - [ ] Nella sezione **`DDoS`** è consigliato abilitare le **protezioni DDoS** - [ ] Nella sezione **`Settings`**: - [ ] Controlla che il **`Security Level`** sia **medio** o superiore - [ ] Controlla che il **`Challenge Passage`** sia di massimo 1 ora - [ ] Controlla che il **`Browser Integrity Check`** sia **abilitato** - [ ] Controlla che il **`Privacy Pass Support`** sia **abilitato** #### **CloudFlare DDoS Protection** - Se puoi, abilita **Bot Fight Mode** o **Super Bot Fight Mode**. Se stai proteggendo un'API accessibile programmaticamente (da una pagina front end JS, ad esempio). Potresti non essere in grado di abilitare questo senza interrompere quell'accesso. - In **WAF**: Puoi creare **rate limits per percorso URL** o per **bot verificati** (regole di rate limiting), o per **bloccare l'accesso** in base a IP, Cookie, referrer...). Quindi potresti bloccare richieste che non provengono da una pagina web o che non hanno un cookie. - Se l'attacco proviene da un **bot verificato**, almeno **aggiungi un rate limit** ai bot. - Se l'attacco è a un **percorso specifico**, come meccanismo di prevenzione, aggiungi un **rate limit** in questo percorso. - Puoi anche **whitelistare** indirizzi IP, intervalli IP, paesi o ASN dagli **Strumenti** in WAF. - Controlla se le **Managed rules** potrebbero anche aiutare a prevenire sfruttamenti di vulnerabilità. - Nella sezione **Strumenti** puoi **bloccare o dare una sfida a IP** e **user agents** specifici. - In DDoS potresti **sovrascrivere alcune regole per renderle più restrittive**. - **Impostazioni**: Imposta il **Security Level** su **High** e su **Under Attack** se sei sotto attacco e che il **Browser Integrity Check è abilitato**. - In Cloudflare Domains -> Analytics -> Security -> Controlla se il **rate limit** è abilitato - In Cloudflare Domains -> Security -> Events -> Controlla per **Eventi malevoli rilevati** ### Access {{#ref}} cloudflare-zero-trust-network.md {{#endref}} ### Speed _Non sono riuscito a trovare alcuna opzione relativa alla sicurezza_ ### Caching - [ ] Nella sezione **`Configuration`** considera di abilitare il **CSAM Scanning Tool** ### **Workers Routes** _Dovresti aver già controllato_ [_cloudflare workers_](#workers) ### Rules TODO ### Network - [ ] Se **`HTTP/2`** è **abilitato**, **`HTTP/2 to Origin`** dovrebbe essere **abilitato** - [ ] **`HTTP/3 (with QUIC)`** dovrebbe essere **abilitato** - [ ] Se la **privacy** dei tuoi **utenti** è importante, assicurati che **`Onion Routing`** sia **abilitato** ### **Traffic** TODO ### Custom Pages - [ ] È facoltativo configurare pagine personalizzate quando viene attivato un errore relativo alla sicurezza (come un blocco, rate limiting o sono in modalità sotto attacco) ### Apps TODO ### Scrape Shield - [ ] Controlla che **Email Address Obfuscation** sia **abilitato** - [ ] Controlla che **Server-side Excludes** sia **abilitato** ### **Zaraz** TODO ### **Web3** TODO {{#include ../../banners/hacktricks-training.md}}