gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-27 15:24:32 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
536671c61ce5a6585aed528cda8e6c54669a047e
hacktricks-cloud/src/pentesting-ci-cd/cloudflare-security/cloudflare-domains.md

5.7 KiB
Raw Blame History

Cloudflare Domains

{{#include ../../banners/hacktricks-training.md}}

En cada TLD configurado en Cloudflare hay algunas configuraciones y servicios generales que se pueden configurar. En esta página vamos a analizar las configuraciones relacionadas con la seguridad de cada sección:

Overview

  • Obtener una idea de cuánto se están usando los servicios de la cuenta
  • Encontrar también el ID de zona y el ID de cuenta

Analytics

  • En Security verificar si hay alguna Limitación de tasa

DNS

  • Verificar datos interesantes (¿sensibles?) en los registros DNS
  • Verificar subdominios que podrían contener información sensible solo basándose en el nombre (como admin173865324.domin.com)
  • Verificar páginas web que no están protegidas
  • Verificar páginas web protegidas que pueden ser accedidas directamente por CNAME o dirección IP
  • Verificar que DNSSEC esté habilitado
  • Verificar que CNAME Flattening esté usado en todos los CNAMEs
  • Esto podría ser útil para ocultar vulnerabilidades de toma de subdominio y mejorar los tiempos de carga
  • Verificar que los dominios no sean vulnerables a suplantación

Email

TODO

Spectrum

TODO

SSL/TLS

Overview

  • La encriptación SSL/TLS debe ser Completa o Completa (Estricto). Cualquier otra enviará tráfico en texto claro en algún momento.
  • El Recomendador SSL/TLS debe estar habilitado

Edge Certificates

  • Siempre usar HTTPS debe estar habilitado
  • HTTP Strict Transport Security (HSTS) debe estar habilitado
  • La versión mínima de TLS debe ser 1.2
  • TLS 1.3 debe estar habilitado
  • Reescrituras automáticas de HTTPS deben estar habilitadas
  • Monitoreo de transparencia de certificados debe estar habilitado

Security

  • En la sección WAF es interesante verificar que se utilizan reglas de Firewall y limitación de tasa para prevenir abusos.
  • La acción Bypass desactivará las características de seguridad de Cloudflare para una solicitud. No debería ser utilizada.
  • En la sección Page Shield se recomienda verificar que esté habilitado si se utiliza alguna página
  • En la sección API Shield se recomienda verificar que esté habilitado si alguna API está expuesta en Cloudflare
  • En la sección DDoS se recomienda habilitar las protecciones DDoS
  • En la sección Settings:
  • Verificar que el Nivel de Seguridad sea medio o mayor
  • Verificar que el Tiempo de Desafío sea de 1 hora como máximo
  • Verificar que la Verificación de Integridad del Navegador esté habilitada
  • Verificar que el Soporte de Privacy Pass esté habilitado

CloudFlare DDoS Protection

  • Si puedes, habilita Bot Fight Mode o Super Bot Fight Mode. Si estás protegiendo alguna API accesada programáticamente (desde una página de frontend JS, por ejemplo). Puede que no puedas habilitar esto sin romper ese acceso.
  • En WAF: Puedes crear límites de tasa por ruta URL o para bots verificados (reglas de limitación de tasa), o para bloquear acceso basado en IP, Cookie, referidor...). Así que podrías bloquear solicitudes que no provengan de una página web o que no tengan una cookie.
  • Si el ataque es de un bot verificado, al menos agrega un límite de tasa a los bots.
  • Si el ataque es a una ruta específica, como mecanismo de prevención, agrega un límite de tasa en esta ruta.
  • También puedes blanquear direcciones IP, rangos de IP, países o ASN desde las Herramientas en WAF.
  • Verifica si las Reglas gestionadas también podrían ayudar a prevenir explotaciones de vulnerabilidades.
  • En la sección Herramientas puedes bloquear o dar un desafío a IPs y agentes de usuario específicos.
  • En DDoS podrías sobrescribir algunas reglas para hacerlas más restrictivas.
  • Configuraciones: Establecer el Nivel de Seguridad en Alto y en Bajo Ataque si estás Bajo Ataque y que la Verificación de Integridad del Navegador esté habilitada.
  • En Cloudflare Domains -> Analytics -> Security -> Verificar si la limitación de tasa está habilitada
  • En Cloudflare Domains -> Security -> Events -> Verificar si hay Eventos maliciosos detectados

Access

{{#ref}} cloudflare-zero-trust-network.md {{#endref}}

Speed

No pude encontrar ninguna opción relacionada con la seguridad

Caching

  • En la sección Configuration considera habilitar la Herramienta de Escaneo CSAM

Workers Routes

Ya deberías haber revisado cloudflare workers

Rules

TODO

Network

  • Si HTTP/2 está habilitado, HTTP/2 to Origin debe estar habilitado
  • HTTP/3 (con QUIC) debe estar habilitado
  • Si la privacidad de tus usuarios es importante, asegúrate de que Onion Routing esté habilitado

Traffic

TODO

Custom Pages

  • Es opcional configurar páginas personalizadas cuando se activa un error relacionado con la seguridad (como un bloqueo, limitación de tasa o estoy en modo de ataque)

Apps

TODO

Scrape Shield

  • Verificar que la Ofuscación de Direcciones de Correo Electrónico esté habilitada
  • Verificar que los Excluidos del lado del servidor estén habilitados

Zaraz

TODO

Web3

TODO

{{#include ../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink