gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 11:07:37 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
b43d62ebcbbdf901a101b79f35dc2fe179dc7a81
hacktricks-cloud/src/pentesting-ci-cd/cloudflare-security/cloudflare-domains.md

5.4 KiB
Raw Blame History

Cloudflare Domains

{{#include ../../banners/hacktricks-training.md}}

Katika kila TLD iliyowekwa kwenye Cloudflare kuna mipangilio na huduma za jumla ambazo zinaweza kuwekwa. Katika ukurasa huu tutachambua mipangilio inayohusiana na usalama ya kila sehemu:

Muhtasari

  • Pata hisia ya ni kiasi gani huduma za akaunti zinatumika
  • Pata pia zone ID na account ID

Uchambuzi

  • Katika Security angalia kama kuna Rate limiting

DNS

  • Angalia data za kuvutia (sensitive?) katika rekodi za DNS
  • Angalia subdomains ambazo zinaweza kuwa na habari nyeti kulingana na jina (kama admin173865324.domin.com)
  • Angalia kurasa za wavuti ambazo hazijapangwa proxied
  • Angalia kurasa za wavuti zilizopangwa ambazo zinaweza kupatikana moja kwa moja kwa CNAME au anwani ya IP
  • Angalia kwamba DNSSEC ime wezeshwa
  • Angalia kwamba CNAME Flattening inatumika katika CNAME zote
  • Hii inaweza kuwa na manufaa ili kuficha udhaifu wa kuchukua subdomain na kuboresha nyakati za upakiaji
  • Angalia kwamba majina ya domain hayana udhaifu wa spoofing

Barua pepe

TODO

Spectrum

TODO

SSL/TLS

Muhtasari

  • SSL/TLS encryption inapaswa kuwa Full au Full (Strict). Mengineyo yatatuma trafiki ya maandiko wazi kwa wakati fulani.
  • SSL/TLS Recommender inapaswa kuwezeshwa

Vyeti vya Edge

  • Daima Tumia HTTPS inapaswa kuwa imewezeshwa
  • HTTP Strict Transport Security (HSTS) inapaswa kuwa imewezeshwa
  • Tofauti ya chini ya TLS inapaswa kuwa 1.2
  • TLS 1.3 inapaswa kuwa imewezeshwa
  • Marekebisho ya kiotomatiki ya HTTPS inapaswa kuwa imewezeshwa
  • Ufuatiliaji wa Uwazi wa Cheti inapaswa kuwa imewezeshwa

Usalama

  • Katika sehemu ya WAF ni muhimu kuangalia kwamba Firewall na kanuni za rate limiting zinatumika kuzuia matumizi mabaya.
  • Kitendo cha Bypass kita zima vipengele vya usalama vya Cloudflare kwa ombi. Hakipaswi kutumika.
  • Katika sehemu ya Page Shield inapendekezwa kuangalia kwamba ime wezeshwa ikiwa ukurasa wowote unatumika
  • Katika sehemu ya API Shield inapendekezwa kuangalia kwamba ime wezeshwa ikiwa API yoyote inafichuliwa kwenye Cloudflare
  • Katika sehemu ya DDoS inapendekezwa kuwezesha ulinzi wa DDoS
  • Katika sehemu ya Settings:
  • Angalia kwamba Security Level ni kati au zaidi
  • Angalia kwamba Challenge Passage ni saa 1 kwa max
  • Angalia kwamba Browser Integrity Check ime wezeshwa
  • Angalia kwamba Privacy Pass Support ime wezeshwa

Ulinzi wa DDoS wa CloudFlare

  • Ikiwa unaweza, wezesha Bot Fight Mode au Super Bot Fight Mode. Ikiwa unalinda API fulani inayopatikana kwa njia ya programu (kutoka ukurasa wa mbele wa JS kwa mfano). Huenda usiweze kuwezesha hii bila kuvunja ufikiaji huo.
  • Katika WAF: Unaweza kuunda mipaka ya kiwango kwa njia ya URL au kwa bots zilizothibitishwa (kanuni za rate limiting), au kuzuia ufikiaji kulingana na IP, Cookie, referrer...). Hivyo unaweza kuzuia maombi ambayo hayajatoka kwenye ukurasa wa wavuti au yana cookie.
  • Ikiwa shambulio linatoka kwa bot iliyothibitishwa, angalau ongeza kiwango cha mipaka kwa bots.
  • Ikiwa shambulio linahusiana na njia maalum, kama njia ya kuzuia, ongeza mipaka ya kiwango katika njia hii.
  • Unaweza pia kuongeza kwenye orodha ya nyeupe anwani za IP, anuwai za IP, nchi au ASNs kutoka Zana katika WAF.
  • Angalia ikiwa Kanuni Zinazosimamiwa zinaweza pia kusaidia kuzuia matumizi mabaya ya udhaifu.
  • Katika sehemu ya Zana unaweza kuzuia au kutoa changamoto kwa IP maalum na wakala wa mtumiaji.
  • Katika DDoS unaweza kuzidisha baadhi ya kanuni ili kuzifanya kuwa kali zaidi.
  • Mipangilio: Weka Kiwango cha Usalama kuwa Juu na kuwa Chini ya Shambulio ikiwa uko chini ya shambulio na kwamba Browser Integrity Check imewezeshwa.
  • Katika Cloudflare Domains -> Uchambuzi -> Usalama -> Angalia ikiwa rate limit imewezeshwa
  • Katika Cloudflare Domains -> Usalama -> Matukio -> Angalia kwa matukio mabaya yaliyogunduliwa

Ufikiaji

{{#ref}} cloudflare-zero-trust-network.md {{#endref}}

Kasi

Sikuweza kupata chaguo lolote linalohusiana na usalama

Caching

  • Katika sehemu ya Configuration fikiria kuwezesha Zana ya Skanning ya CSAM

Njia za Wafanyakazi

Unapaswa kuwa umeshakagua cloudflare workers

Kanuni

TODO

Mtandao

  • Ikiwa HTTP/2 ime wezeshwa, HTTP/2 to Origin inapaswa kuwa imewezeshwa
  • HTTP/3 (na QUIC) inapaswa kuwa imewezeshwa
  • Ikiwa faragha ya watumiaji wako ni muhimu, hakikisha Onion Routing ime wezeshwa

Mwanzo

TODO

Kurasa za Kawaida

  • Ni hiari kuweka mipangilio ya kurasa za kawaida wakati kosa linalohusiana na usalama linapotokea (kama kizuizi, rate limiting au niko chini ya shambulio)

Mifumo

TODO

Scrape Shield

  • Angalia Uondoaji wa Anwani za Barua pepe ume wezeshwa
  • Angalia Kujumuisha kwa Seva ume wezeshwa

Zaraz

TODO

Web3

TODO

{{#include ../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink