gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 11:07:37 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
060c839d56b5d97b401038d16cd7944f9c5a5a82
hacktricks-cloud/src/pentesting-ci-cd/cloudflare-security/cloudflare-domains.md

5.8 KiB
Raw Blame History

Dominios de Cloudflare

{{#include ../../banners/hacktricks-training.md}}

En cada TLD configurado en Cloudflare hay algunas configuraciones y servicios generales que se pueden configurar. En esta página vamos a analizar las configuraciones relacionadas con la seguridad de cada sección:

Resumen

  • Obtener una idea de cuánto se están usando los servicios de la cuenta
  • Encontrar también el ID de zona y el ID de cuenta

Analítica

  • En Seguridad verificar si hay alguna limitación de tasa

DNS

  • Verificar datos interesantes (¿sensibles?) en los registros DNS
  • Verificar subdominios que podrían contener información sensible solo basándose en el nombre (como admin173865324.domin.com)
  • Verificar páginas web que no están protegidas
  • Verificar páginas web protegidas que pueden ser accedidas directamente por CNAME o dirección IP
  • Verificar que DNSSEC está habilitado
  • Verificar que CNAME Flattening está usado en todos los CNAMEs
  • Esto podría ser útil para ocultar vulnerabilidades de toma de subdominio y mejorar los tiempos de carga
  • Verificar que los dominios no son vulnerables a suplantación

Correo Electrónico

TODO

Espectro

TODO

SSL/TLS

Resumen

  • La encriptación SSL/TLS debe ser Completa o Completa (Estricto). Cualquier otra enviará tráfico en texto claro en algún momento.
  • El Recomendador de SSL/TLS debe estar habilitado

Certificados de Edge

  • Siempre Usar HTTPS debe estar habilitado
  • HTTP Strict Transport Security (HSTS) debe estar habilitado
  • La versión mínima de TLS debe ser 1.2
  • TLS 1.3 debe estar habilitado
  • Reescrituras automáticas de HTTPS deben estar habilitadas
  • Monitoreo de Transparencia de Certificados debe estar habilitado

Seguridad

  • En la sección WAF es interesante verificar que se están usando reglas de Firewall y limitación de tasa para prevenir abusos.
  • La acción Bypass desactivará las características de seguridad de Cloudflare para una solicitud. No debería ser utilizada.
  • En la sección Page Shield se recomienda verificar que está habilitado si se utiliza alguna página
  • En la sección API Shield se recomienda verificar que está habilitado si alguna API está expuesta en Cloudflare
  • En la sección DDoS se recomienda habilitar las protecciones DDoS
  • En la sección Configuraciones:
  • Verificar que el Nivel de Seguridad es medio o mayor
  • Verificar que el Tiempo de Desafío es de 1 hora como máximo
  • Verificar que la Verificación de Integridad del Navegador está habilitada
  • Verificar que el Soporte de Privacy Pass está habilitado

Protección DDoS de CloudFlare

  • Si puedes, habilita Bot Fight Mode o Super Bot Fight Mode. Si estás protegiendo alguna API accesada programáticamente (desde una página de frontend JS, por ejemplo). Puede que no puedas habilitar esto sin romper ese acceso.
  • En WAF: Puedes crear límites de tasa por ruta URL o para bots verificados (reglas de limitación de tasa), o bloquear acceso basado en IP, Cookie, referidor...). Así que podrías bloquear solicitudes que no provengan de una página web o que no tengan una cookie.
  • Si el ataque proviene de un bot verificado, al menos agrega un límite de tasa a los bots.
  • Si el ataque es a una ruta específica, como mecanismo de prevención, agrega un límite de tasa en esta ruta.
  • También puedes blanquear direcciones IP, rangos de IP, países o ASN desde las Herramientas en WAF.
  • Verifica si las Reglas Administradas también podrían ayudar a prevenir explotaciones de vulnerabilidades.
  • En la sección Herramientas puedes bloquear o dar un desafío a IPs específicas y agentes de usuario.
  • En DDoS podrías anular algunas reglas para hacerlas más restrictivas.
  • Configuraciones: Establece el Nivel de Seguridad en Alto y en Bajo Ataque si estás Bajo Ataque y que la Verificación de Integridad del Navegador está habilitada.
  • En Dominios de Cloudflare -> Analítica -> Seguridad -> Verifica si la limitación de tasa está habilitada
  • En Dominios de Cloudflare -> Seguridad -> Eventos -> Verifica si hay Eventos maliciosos detectados

Acceso

{{#ref}} cloudflare-zero-trust-network.md {{#endref}}

Velocidad

No pude encontrar ninguna opción relacionada con la seguridad

Caché

  • En la sección Configuración considera habilitar la Herramienta de Escaneo CSAM

Rutas de Workers

Ya deberías haber revisado cloudflare workers

Reglas

TODO

Red

  • Si HTTP/2 está habilitado, HTTP/2 a Origen debe estar habilitado
  • HTTP/3 (con QUIC) debe estar habilitado
  • Si la privacidad de tus usuarios es importante, asegúrate de que Onion Routing esté habilitado

Tráfico

TODO

Páginas Personalizadas

  • Es opcional configurar páginas personalizadas cuando se activa un error relacionado con la seguridad (como un bloqueo, limitación de tasa o estoy en modo de ataque)

Aplicaciones

TODO

Scrape Shield

  • Verificar que la Ofuscación de Direcciones de Correo Electrónico está habilitada
  • Verificar que los Excluidos del lado del servidor están habilitados

Zaraz

TODO

Web3

TODO

{{#include ../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink