hacktricks-cloud/src/pentesting-ci-cd/cloudflare-security/cloudflare-domains.md

Cloudflare Domains

{{#include ../../banners/hacktricks-training.md}}

In jeder in Cloudflare konfigurierten TLD gibt es einige allgemeine Einstellungen und Dienste, die konfiguriert werden können. Auf dieser Seite werden wir die sicherheitsrelevanten Einstellungen jeder Sektion analysieren:

Übersicht

• Ein Gefühl dafür bekommen, wie viel die Dienste des Kontos genutzt werden
• Finde auch die Zone-ID und die Kontonummer

Analytik

• In Sicherheit überprüfen, ob es eine Ratenbegrenzung gibt

DNS

• Überprüfen Sie interessante (sensible?) Daten in den DNS-Einträgen
• Überprüfen Sie auf Subdomains, die sensible Informationen nur basierend auf dem Namen enthalten könnten (wie admin173865324.domin.com)
• Überprüfen Sie auf Webseiten, die nicht proxied sind
• Überprüfen Sie auf proxifizierte Webseiten, die direkt über CNAME oder IP-Adresse zugänglich sind
• Überprüfen Sie, dass DNSSEC aktiviert ist
• Überprüfen Sie, dass CNAME Flattening in allen CNAMEs verwendet wird
• Dies könnte nützlich sein, um Subdomain-Übernahmeanfälligkeiten zu verbergen und die Ladezeiten zu verbessern
• Überprüfen Sie, dass die Domains nicht anfällig für Spoofing sind

E-Mail

TODO

Spectrum

TODO

SSL/TLS

Übersicht

• Die SSL/TLS-Verschlüsselung sollte Voll oder Voll (Streng) sein. Jede andere wird irgendwann Klartextverkehr senden.
• Der SSL/TLS-Empfehlungsdienst sollte aktiviert sein

Edge-Zertifikate

• Immer HTTPS verwenden sollte aktiviert sein
• HTTP Strict Transport Security (HSTS) sollte aktiviert sein
• Minimale TLS-Version sollte 1.2 sein
• TLS 1.3 sollte aktiviert sein
• Automatische HTTPS-Umschreibungen sollten aktiviert sein
• Zertifikatstransparenzüberwachung sollte aktiviert sein

Sicherheit

• Im WAF-Bereich ist es interessant zu überprüfen, ob Firewall und Ratenbegrenzungsregeln verwendet werden, um Missbrauch zu verhindern.
• Die Bypass-Aktion wird die Cloudflare-Sicherheits-Funktionen für eine Anfrage deaktivieren. Sie sollte nicht verwendet werden.
• Im Page Shield-Bereich wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine Seite verwendet wird
• Im API Shield-Bereich wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine API in Cloudflare exponiert ist
• Im DDoS-Bereich wird empfohlen, die DDoS-Schutzmaßnahmen zu aktivieren
• Im Einstellungen-Bereich:
• Überprüfen Sie, dass das Sicherheitsniveau mittel oder höher ist
• Überprüfen Sie, dass die Challenge Passage maximal 1 Stunde beträgt
• Überprüfen Sie, dass die Browser-Integritätsprüfung aktiviert ist
• Überprüfen Sie, dass die Privacy Pass Support aktiviert ist

CloudFlare DDoS-Schutz

• Wenn möglich, aktivieren Sie den Bot Fight Mode oder den Super Bot Fight Mode. Wenn Sie eine API programmgesteuert (z. B. von einer JS-Frontend-Seite) schützen, können Sie dies möglicherweise nicht aktivieren, ohne den Zugriff zu beeinträchtigen.
• In WAF: Sie können Ratenlimits nach URL-Pfad oder für verifizierte Bots (Ratenbegrenzungsregeln) erstellen oder den Zugriff basierend auf IP, Cookie, Referrer... blockieren. So könnten Sie Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben.
• Wenn der Angriff von einem verifizierten Bot kommt, fügen Sie mindestens ein Ratenlimit für Bots hinzu.
• Wenn der Angriff auf einen bestimmten Pfad abzielt, fügen Sie als Präventionsmechanismus ein Ratenlimit in diesem Pfad hinzu.
• Sie können auch IP-Adressen, IP-Bereiche, Länder oder ASNs aus den Tools in WAF whitelisten.
• Überprüfen Sie, ob verwaltete Regeln auch helfen könnten, um die Ausnutzung von Schwachstellen zu verhindern.
• Im Tools-Bereich können Sie bestimmte IPs und Benutzeragenten blockieren oder eine Herausforderung stellen.
• In DDoS könnten Sie einige Regeln überschreiben, um sie restriktiver zu machen.
• Einstellungen: Setzen Sie das Sicherheitsniveau auf Hoch und auf Unter Angriff, wenn Sie unter Angriff stehen und die Browser-Integritätsprüfung aktiviert ist.
• In Cloudflare Domains -> Analytik -> Sicherheit -> Überprüfen Sie, ob die Ratenbegrenzung aktiviert ist
• In Cloudflare Domains -> Sicherheit -> Ereignisse -> Überprüfen Sie auf entdeckte bösartige Ereignisse

Zugriff

{{#ref}} cloudflare-zero-trust-network.md {{#endref}}

Geschwindigkeit

Ich konnte keine Option im Zusammenhang mit Sicherheit finden

Caching

• Im Konfiguration-Bereich sollten Sie in Betracht ziehen, das CSAM-Scanning-Tool zu aktivieren

Workers-Routen

Sie sollten bereits cloudflare workers überprüft haben

Regeln

TODO

Netzwerk

• Wenn HTTP/2 aktiviert ist, sollte HTTP/2 zu Origin aktiviert sein
• HTTP/3 (mit QUIC) sollte aktiviert sein
• Wenn die Privatsphäre Ihrer Benutzer wichtig ist, stellen Sie sicher, dass Onion Routing aktiviert ist

Verkehr

TODO

Benutzerdefinierte Seiten

• Es ist optional, benutzerdefinierte Seiten zu konfigurieren, wenn ein sicherheitsbezogenes Problem auftritt (wie eine Blockierung, Ratenbegrenzung oder Ich bin im Angriffsmodus)

Apps

TODO

Scrape Shield

• Überprüfen Sie, ob die E-Mail-Adressenobfuskation aktiviert ist
• Überprüfen Sie, ob die Serverseitigen Ausschlüsse aktiviert sind

Zaraz

TODO

Web3

TODO

{{#include ../../banners/hacktricks-training.md}}