gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-11 04:33:31 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
44890bfac0931ae480c376ba42a9ce6d9b7547ee
hacktricks-cloud/src/pentesting-ci-cd/cloudflare-security/cloudflare-domains.md

5.4 KiB
Raw Blame History

Cloudflare Domeine

{{#include ../../banners/hacktricks-training.md}}

In elke TLD wat in Cloudflare gekonfigureer is, is daar 'n paar generiese instellings en dienste wat gekonfigureer kan word. Op hierdie bladsy gaan ons die veiligheidsverwante instellings van elke afdeling analiseer:

Oorsig

  • Kry 'n gevoel van hoeveel die dienste van die rekening gebruik word
  • Vind ook die zone ID en die rekening ID

Analise

  • In Veiligheid kyk of daar enige Tariefbeperking is

DNS

  • Kyk na interessante (sensitiewe?) data in DNS rekords
  • Kyk vir subdomeine wat sensitiewe inligting kan bevat net gebaseer op die naam (soos admin173865324.domin.com)
  • Kyk vir webbladsye wat nie geproksieer is nie
  • Kyk vir geproksieerde webbladsye wat direk deur CNAME of IP-adres toegang kan verkry word
  • Kyk dat DNSSEC geaktiveer is
  • Kyk dat CNAME Flattening in alle CNAMEs gebruik word
  • Dit kan nuttig wees om subdomein oorneem kwesbaarhede te versteek en laai tyds te verbeter
  • Kyk dat die domeine nie kwesbaar is vir spoofing nie

E-pos

TODO

Spektrum

TODO

SSL/TLS

Oorsig

  • Die SSL/TLS enkripsie moet Vol of Vol (Streng) wees. Enige ander sal duidelike teksverkeer op 'n sekere punt stuur.
  • Die SSL/TLS Aanbeveler moet geaktiveer wees

Rand Sertifikate

  • Gebruik altyd HTTPS moet geaktiveer wees
  • HTTP Streng Vervoer Sekuriteit (HSTS) moet geaktiveer wees
  • Minimum TLS Weergawe moet 1.2 wees
  • TLS 1.3 moet geaktiveer wees
  • Outomatiese HTTPS Herskrywings moet geaktiveer wees
  • Sertifikaat Deursigtigheid Monitering moet geaktiveer wees

Veiligheid

  • In die WAF afdeling is dit interessant om te kyk dat Vuurmuur en tariefbeperking reëls gebruik word om misbruik te voorkom.
  • Die Omseil aksie sal Cloudflare se sekuriteits funksies vir 'n versoek deaktiveer. Dit moet nie gebruik word nie.
  • In die Bladskild afdeling word dit aanbeveel om te kyk dat dit geaktiveer is as enige bladsy gebruik word
  • In die API Skild afdeling word dit aanbeveel om te kyk dat dit geaktiveer is as enige API in Cloudflare blootgestel word
  • In die DDoS afdeling word dit aanbeveel om die DDoS beskermings te aktiveer
  • In die Instellings afdeling:
  • Kyk dat die Veiligheidsvlak medium of groter is
  • Kyk dat die Uitdaging Deurgang 1 uur maksimum is
  • Kyk dat die Bladsy Integriteit Kontrole geaktiveer is
  • Kyk dat die Privaatheid Pas Ondersteuning geaktiveer is

CloudFlare DDoS Beskerming

  • As jy kan, aktiveer Bot Strijd Modus of Super Bot Strijd Modus. As jy 'n API beskerm wat programmaties (van 'n JS front-end bladsy byvoorbeeld) toeganklik is. Jy mag dalk nie in staat wees om dit te aktiveer sonder om daardie toegang te breek nie.
  • In WAF: Jy kan tariefbeperkings per URL pad of vir geverifieerde bots (Tariefbeperking reëls) skep, of om toegang te blokkeer gebaseer op IP, koekie, verwysing...). So jy kan versoeke blokkeer wat nie van 'n webblad kom nie of 'n koekie het.
  • As die aanval van 'n geverifieerde bot is, voeg ten minste 'n tariefbeperking by vir bots.
  • As die aanval op 'n spesifieke pad is, voeg as voorkomingsmeganisme 'n tariefbeperking in hierdie pad by.
  • Jy kan ook IP-adresse, IP-reekse, lande of ASN's van die Gereedskap in WAF witlys.
  • Kyk of Geverifieerde reëls ook kan help om kwesbaarheid eksploitasiest te voorkom.
  • In die Gereedskap afdeling kan jy blokkeer of 'n uitdaging gee aan spesifieke IPs en gebruikersagente.
  • In DDoS kan jy sekere reëls oorskry om hulle meer beperkend te maak.
  • Instellings: Stel Veiligheidsvlak op Hoog en op Onder Aanval as jy Onder Aanval is en dat die Bladsy Integriteit Kontrole geaktiveer is.
  • In Cloudflare Domeine -> Analise -> Veiligheid -> Kyk of tariefbeperking geaktiveer is
  • In Cloudflare Domeine -> Veiligheid -> Gebeure -> Kyk vir gedetekteerde kwaadwillige Gebeure

Toegang

{{#ref}} cloudflare-zero-trust-network.md {{#endref}}

Spoed

Ek kon nie enige opsie rakende veiligheid vind nie

Kas

  • In die Konfigurasie afdeling oorweeg om die CSAM Skandeergereedskap te aktiveer

Werkers Roetes

Jy moet reeds cloudflare workers gekyk het

Reëls

TODO

Netwerk

  • As HTTP/2 geaktiveer is, moet HTTP/2 na Oorsprong geaktiveer wees
  • HTTP/3 (met QUIC) moet geaktiveer wees
  • As die privaatheid van jou gebruikers belangrik is, maak seker Onion Routing is geaktiveer

Verkeer

TODO

Aangepaste Bladsye

  • Dit is opsioneel om aangepaste bladsye te konfigureer wanneer 'n fout rakende veiligheid geaktiveer word (soos 'n blok, tariefbeperking of ek is onder aanval modus)

Apps

TODO

Scrape Skild

  • Kyk of E-pos Adres Obfuskaie geaktiveer is
  • Kyk of Bediener-kant Uitsluitings geaktiveer is

Zaraz

TODO

Web3

TODO

{{#include ../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink